RU

Жизненный цикл API-токенов: От генерации до компрометации

JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…

jwtjwt tokenjwt authjwt authenticationappsecsecurityfrontendfront-endfront-end разработкаfrontend-разработка
Habr
RU

Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш

Каждый, кто работает с SSH, наизусть знает ритуал первого подключения (TOFU) и страшный ворнинг о смене ключей хоста. Но почему в 99% случаев мы прост…

sshknown_hostssecurityинформационная безопасностьдовериеtofuсетевые протоколыадминистрирование linuxclic11
Habr
RU

После прочтения сжечь. Как устроен zero-knowledge сервис, где сервер не видит ключ

Привет! Задача возникла банальная: нужно передать коллеге пароль, API-ключ или конфиг. Телега — не хочется, почта — тем более. Существующие решения от…

информационная безопасностьcloudflareopen sourceweb crypto apizero-knowledgeaes-gcmsecurityprivacy
Habr
RU

Правильный RBAC

Спросите любого инженера, как разграничить доступ в приложении, — услышите RBAC : роли и права. Но RBAC — это концепция , а не рецепт. Совет «заведите…

crmrbacsecurityaccess control
Habr
RU

[Перевод] Loop Engineering: 14 шагов от промптера до архитектора систем

Два года работа c AI-агентами для написания кода выглядели одинаково: написать промпт, передать контекст, прочитать дифф, написать следующий промпт. А…

loop engineeringAI-агентыClaude CodeCodexMCPавтоматизация разработкиprompt engineeringsub-агентыsecurity
Habr
RU

[Перевод] HTML Sanitizer API: конец эпохи DOMPurify и XSS-страданий

Инженеры узнают о межсайтовом скриптинге (Cross-Site Scripting, XSS) тремя способами. Счастливчики узнают о нем благодаря полезному анализу кода или п…

javascriptjshtmldompurifysanitizerочисткаобезвреживаниеsecurityбезопасностьtimeweb_статьи_перевод
Habr
RU

Ошибки триажа алертов: почему ваш SOC пропустит реальную атаку прямо сейчас?

В SOC реальная атака редко приходит с табличкой «срочно расследовать»: чаще она маскируется под очередное ложное срабатывание, которое уже сотни раз з…

SOCsecurityтриаж алертовsiemdetection-as-codekill-chain
Habr
RU

Точно ли агенты безопасны?

Буквально недавно я писал статью по мотивам материала Anthropic - того самого, где опять говорили " джуны больше не нужны ". Ребята учитывают одни дет…

llmsecurityhereticaiagents
Habr
RU

Не давайте ИИ-агенту прямой доступ к базе. Как я проектировал безопасный контур действий на FastAPI и PostgreSQL

Последнее время я всё чаще встречаю одну и ту же мысль: бизнес никогда не даст ИИ‑агенту доступ к базе клиентов, заявкам, платежам, CRM…

ai-агентыaiai agentfastapipostgresqlpostgresbackendsecurityauditopinion
Habr
RU

AI Governance и контроль корпоративных AI-агентов: безопасные подходы для бизнеса в 2026 году

В 2026 году искусственный интеллект стал неотъемлемой частью бизнес-процессов: от автоматизации клиентских операций до внутреннего мониторинга данных.…

aiai-агентыai agentai-agentai-securitysecuritysecurity ososai-инструментызащита информации
Habr
RU

Через 5 лет каждая компания будет управлять AI так же, как сегодня управляет сотрудниками

Еще несколько лет назад искусственный интеллект воспринимался как экзотический инструмент для крупных корпораций, исследовательских лабораторий и энту…

ai-агентыai agentai-agentsecuritysecurity apiai securityai-securityanalyticsanalysisos
Habr
RU

Архитектура безопасности во frontend-приложениях: Server Actions и защита данных в эпоху Next.js

Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложе…

безопасностьархитектураnext.jsreactreact server componentsserver actionssecuritysecurity through obscurity
Habr
RU

Важные изменения в защите информации в России: что нового?

В апреле 2026 года ФСТЭК России выпустил долгожданный методический документ "Состав и содержание мероприятий и мер по защите информации, содержащейся …

управление иб-процессамиинформационная безопасностьsecurityИБ-метрикикибербезопасностьфстэк
Habr
RU

Agent Gateway в Google Cloud: внешний контур управления AI-агентами, которого не хватало enterprise

Не так давно AI-агент для разработки кода (Cursor на базе модели Anthropic Claude Opus 4.6) получил задачу и выполнил её буквально. Слишком буквально.…

GoogleCloudии-агентыai-agentsecurityai infrastructureоблачная инфраструктура
Habr