DevOps

RU

Под капотом одного ползунка: как устроена защита от ботов в Яндексе

Роботный трафик — это посещения сайта не людьми, а автоматическими программами, скриптами или ботами. Автоматизированный трафик&nb…

smartwebsecuritysmartcapchaантиботантиддосзащита сайтазащита от ботовddos-атакиddos-защитаинформационная безопасностьяндекс

RU

X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига

Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность , занимаюсь WAF и цепочками обр…

WAFобратный проксиnginxHAProxyX-Forwarded-ForX-Real-IPмисконфигурацияобход WAFинформационная безопасностьвеб-безопасность

RU

Что не так с ИБ в опенсорсе и при чем тут ИИ (опять)

Системы ИИ уже способны переписать открытый проект с нуля — и сделать это за считаные минуты. Часть ИТ-сообщества видит в этом проблему , в первую оче…

beeline cloudоткрытый кодинформационная безопасностьсистемы ииopen source

RU

Black-box пентест: как одна панель управления раскрыла 30 поддоменов и Zabbix в открытом доступе

Недавно мне поступила задача: провести внешний black-box пентест клиентской панели управления. Входных данных — минимум: только URL. Ни IP-диапазонов,…

пентестblack-boxинформационная безопасностьOSINTCertificate Transparencycrt.shsubfindernmapZabbixDevOps

RU

Пещера Алладина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW

Разбираемся с открытой библиотекой Agent Skills для кибербезопасности на 754 навыка, показываем, как она устроена, и проводим живой эксперимент: даём …

llmllm-агентhermes agentIPSfirewallмежсетевой экранideco ngfwidecoSuricataинформационная безопасность

RU

Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код

Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на …

kubernetesконтроль целостностиdeckhouse kubernetes platformконтейнерыинформационная безопасностьфстэк россии

RU

Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring

По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…

vk cloudzero trustинформационная безопасностьztnacybersecurityvk techиб

RU

Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring

По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…

vk cloudzero trustинформационная безопасностьztnacybersecurityvk techиб

RU

Бомба замедленного действия взорвалась: эпоха ИИ «бери сколько унесёшь» закончилась

На прошлой неделе на State of Brand вышел материал по следам статьи, опубликованной всего несколькими днями ранее. Тогда авторы утверждали: любая ИИ-п…

искусственный интеллектapicloudopenaianthropiccopilotинформационная безопасностьии-агентыии-модельуправление

RU

Всё об информационной безопасности. Кибербезопасность. DevOps, CI/CD. Хакеры. Алексей Федулаев

Информационную безопасность часто представляют как скучную «айтишную охрану» — поставил антивирус, настроил пароли и можно спокойно спать. В реальност…

информационная безопасностькибербезопасностьDevSecOpsоблачная безопасностьDevOpsкарьера в ИБbug bountyred teamKubernetes securityпентест

RU

3 Тбит/с по-русски: почему DDoS в 2026 году стал угрозой для любого бизнеса

В I квартале 2026 года Россия впервые столкнулась с DDoS-атаками мощнее 3 Тбит/с. Атаки стали короче, умнее и опаснее — и защищаться «своими силами» б…

Хостингинформационная безопасностьddosатакиddos-защита

RU

Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству

Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26…

devsecopsdevopsgrafanagithubинформационная безопасностьgithub actionsкибербезопасностьnpmransomwaresupply chain

RU

9 секунд и нет production-базы. Разбор трёх провалов AI-агентов в проде

25 апреля 2026, пятница вечером. Jer Crane, основатель PocketOS, смотрит, как AI-агент Cursor удаляет его production-базу. Со всеми бэкапами. За 9 сек…

искусственный интеллектit-инфраструктураdevopsинформационная безопасностьисследованиеуправление разработкой

RU

Открытые уроки OTUS 18–28 мая: ИИ, Go, Kubernetes, ML, QA, архитектура и безопасность

Kubernetes, Go, LLM, нагрузочное тестирование, observability, AI‑агенты, CTE, API Gateway и безопасность — в мае у OTUS много открытых …

открытые урокиИИмашинное обучениеKubernetesGoDevOpsQAархитектураинформационная безопасностьпродуктовый маркетинг

RU

Надежный фейс-контроль: как прикрутить MFA к веб-сервису через Nginx и OAuth2 Proxy

Подключить MFA к современному веб-приложению обычно несложно: достаточно подключить SAML или OIDC на стороне самого приложения и включить второй факто…

nginxoauth2-proxymfassoпредаутентификацияauth_requestlegacyинформационная безопасность

RU

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки fa…

aspmdevsecopsapplication securityssdlcбезопасная разработкаинформационная безопасностьAI в кибербезопасностиуправление уязвимостямибезопасность приложений

RU

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный …

пентестуязвимостирепозиторийgitflicконтроль доступабезопасность кодазащита репозиторияsupply chain attackинформационная безопасность

RU

Пентест 2026: как войти в профессию

В пентест часто пытаются войти через список инструментов: выучить Burp, погонять Nmap, пройти пару лабораторий и ждать первой боевой задачи. В 20…

пентесткибербезопасностьинформационная безопасностьэтичный хакингweb-пентестmobile securitycloud securityActive DirectoryAI securityLLM security