Spring Security: работа с JWT токенами
Всем привет! Данная статья посвящена регистрации и аутентификации с помощью JWT что помогает нам избавиться от тяжёлых сессий и куки и быть более крут…
Tech news from the best sources
Всем привет! Данная статья посвящена регистрации и аутентификации с помощью JWT что помогает нам избавиться от тяжёлых сессий и куки и быть более крут…
JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…
В данной статье мы научились реализовывать аутентификацию при помощи Spring Security и протестировали её же. Читать далее
1 июля компания runZero сообщила об обнаружении семи уязвимостей в библиотеке FatFs . Это свободно распространяемое ПО, предназначенное для использова…
Каждый, кто работает с SSH, наизусть знает ритуал первого подключения (TOFU) и страшный ворнинг о смене ключей хоста. Но почему в 99% случаев мы прост…
По данным GitGuardian ( State of Secrets Sprawl ), только за 2024 год в публичный GitHub утекло около 23,7 млн секретов — ключей API, токенов, паролей…
Большинство документов по защите информации читаются как перевод с иностранного языка. Красивые слова, логичная структура, ни одного конкретного шага.…
В данной статье поигрались с базовыми возможностями Spring Secrity и узнали фундамент на котором строится вся остальная безопасность приложения Читать…
В данной статье я подробно и простыми словами описал, как работает Spring Security, что он делает, как и за счёт чего он обеспечивает безопасность при…
В прошлой статье говорили про использования LLM хакерами, и обещал как раз продолжение, как защищить свое рабочее пространство, ну в общем, к делу :) …
Что, если хранить зашифрованный контейнер не в одном файле, а распределять между несколькими JPEG-изображениями? Причём так, чтобы потеря части изобра…
Привет! Задача возникла банальная: нужно передать коллеге пароль, API-ключ или конфиг. Телега — не хочется, почта — тем более. Существующие решения от…
Спросите любого инженера, как разграничить доступ в приложении, — услышите RBAC : роли и права. Но RBAC — это концепция , а не рецепт. Совет «заведите…
Xtunnel xtunnel - российский туннель, который позиционирует себя аналогом ушедшего из России ngrok. Сегодня, работая над учебным проектом, я заметил з…
Два года работа c AI-агентами для написания кода выглядели одинаково: написать промпт, передать контекст, прочитать дифф, написать следующий промпт. А…
Инженеры узнают о межсайтовом скриптинге (Cross-Site Scripting, XSS) тремя способами. Счастливчики узнают о нем благодаря полезному анализу кода или п…
В SOC реальная атака редко приходит с табличкой «срочно расследовать»: чаще она маскируется под очередное ложное срабатывание, которое уже сотни раз з…
Буквально недавно я писал статью по мотивам материала Anthropic - того самого, где опять говорили " джуны больше не нужны ". Ребята учитывают одни дет…
Последнее время я всё чаще встречаю одну и ту же мысль: бизнес никогда не даст ИИ‑агенту доступ к базе клиентов, заявкам, платежам, CRM…
В большинстве бизнес-сценариев LLM перестала быть просто чат-ботом. Современные модели становятся частью агентских систем: у них есть инструменты, дос…
Так уж повелось, что в Positive Labs исследованиями одноплатных платформ чаще всего занимаюсь я. Задачи при этом бывают разными: где-то нужно включить…
Когда пользователи используют отпечаток пальца или вход по faceid, это часто воспринимается как «моя биометрия отправляется в сервис». На практике все…
В 2026 году искусственный интеллект стал неотъемлемой частью бизнес-процессов: от автоматизации клиентских операций до внутреннего мониторинга данных.…
Еще несколько лет назад искусственный интеллект воспринимался как экзотический инструмент для крупных корпораций, исследовательских лабораторий и энту…
Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложе…
В 2022–2024 западные CNAPP-платформы — Wiz, Prisma Cloud, Lacework — закрыли доступ для российских компаний. Сбер и Яндекс собрали свой стек на коленк…
Безопасность данных сегодня стала главным приоритетом для любого веб-ресурса. Базовым стандартом защиты учетных записей является хеширование паролей. …
В апреле 2026 года ФСТЭК России выпустил долгожданный методический документ "Состав и содержание мероприятий и мер по защите информации, содержащейся …
Не так давно AI-агент для разработки кода (Cursor на базе модели Anthropic Claude Opus 4.6) получил задачу и выполнил её буквально. Слишком буквально.…
Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подклю…