Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 2
Всем привет! На связи снова Никита Таскин и Анастасия Ильина . Продолжаем тему о контроле доступа применительно к системным интерфейсам, и на этот раз…
Programming
⚑ Report a ProblemLatest Programming news from Tech News
All topics
AI
agents
ai
api
architecture
automation
aws
beginners
career
claude
database
devchallenge
devops
javascript
learning
llm
machinelearning
mcp
opensource
performance
productivity
programming
python
react
rust
security
showdev
tutorial
typescript
webdev
Физический уровень глазами атакующего: почему сеть начинается не с IP
Обычно, когда речь заходит о корпоративной безопасности, все спорят про настройку VPN, межсетевые экраны, выбор EDR‑систем и Zero Trust. Сам…
Fanotify — что он может дать по сравнению с inotify и что попросит взамен
Привет, Хабр! На связи Даниэль из InfoWatch, разработчик решений класса информационной безопасности. В предыдущей статье мы рассматривали задачу контр…
Пещера Алладина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW
Разбираемся с открытой библиотекой Agent Skills для кибербезопасности на 754 навыка, показываем, как она устроена, и проводим живой эксперимент: даём …
ИБ умерла? Разбираем Project Glasswing — как ИИ нашёл тысячи 0-day и что это значит для безопасников
7 апреля 2026 года Anthropic сделала то, чего не делала раньше: опубликовала 244-страничную System Card для модели, которую не собирается выпускать в …
Две машины и бумага между ними
У инженера на промышленном объекте две машины: Контур 1 с интернетом и LLM, Контур 2 — физически изолированный, для реального кода. Между ними асиммет…
Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 1
Замечаете, что безопасность становится важнейшим атрибутом качества современных систем. А знакомы ли вы с концепцией Zero Trust? Не упустили ли вы мом…
Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код
Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на …
Эволюция детекции дипфейков: от подсчета морганий до распознавания микроскопических изменений цвета кожи
— …для начала нужно понять главное. — Что главное? — Ложки не существует. В 2026 году этот диалог из фильма «Матрица» звучит уже не как фи…
Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring
По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…
Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring
По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…
Бомба замедленного действия взорвалась: эпоха ИИ «бери сколько унесёшь» закончилась
На прошлой неделе на State of Brand вышел материал по следам статьи, опубликованной всего несколькими днями ранее. Тогда авторы утверждали: любая ИИ-п…
Всё об информационной безопасности. Кибербезопасность. DevOps, CI/CD. Хакеры. Алексей Федулаев
Информационную безопасность часто представляют как скучную «айтишную охрану» — поставил антивирус, настроил пароли и можно спокойно спать. В реальност…
Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов
Взлом системы SWIFT часто кажется чем-то из области голливудской фантастики, но в 2016 году группировка Lazarus доказала обратное. В этой статье мы ша…
Как CISO защищаются от прошлого, игнорируя будущее
Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, х…
Зачем ОС нужен Root-of-Trust и как KasperskyOS работает с разными реализациями
Привет, Хабр! Когда мы говорим о доверенной операционной системе, быстро выясняется: одного защищенного кода недостаточно. ОС нужна точка опоры еще до…
Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26…
9 секунд и нет production-базы. Разбор трёх провалов AI-агентов в проде
25 апреля 2026, пятница вечером. Jer Crane, основатель PocketOS, смотрит, как AI-агент Cursor удаляет его production-базу. Со всеми бэкапами. За 9 сек…
Открытые уроки OTUS 18–28 мая: ИИ, Go, Kubernetes, ML, QA, архитектура и безопасность
Kubernetes, Go, LLM, нагрузочное тестирование, observability, AI‑агенты, CTE, API Gateway и безопасность — в мае у OTUS много открытых …
«Сто вопросов» взрослому энтерпрайзу: как мигрировать в облако без API
Помните программу «Сто вопросов взрослому», где герою задают прямые и неудобные вопросы, на которые нельзя ответить отговорками? По-моему, это отличны…
Иллюзия сохранности, или Бэкап, который не спасает
Случай, произошедший со стартапом PocketOS, выглядел бы комичным, если бы не обернулся реальной катастрофой. ИИ-агент Cursor, работавший на базе Claud…
Безопасное внедрение ИИ в корпорации: 3 архитектурных подхода и опыт Alpina Digital
88% компаний используют ИИ, но только 1% достиг зрелости. Главный барьер — не технология, а безопасность данных. Что мы делали два года и почему пришл…
Надежный фейс-контроль: как прикрутить MFA к веб-сервису через Nginx и OAuth2 Proxy
Подключить MFA к современному веб-приложению обычно несложно: достаточно подключить SAML или OIDC на стороне самого приложения и включить второй факто…
Ночь с 14 на 15 апреля: мой личный ответ на отключение СМЭВ
Я узнал об отключении не из новостей. Утром мне написал знакомый из небольшого банка: «всё упало, паспорта не проверяются, онлайн встал». В то время к…
Как заставить ИИ-рекрутера читать мой профиль правильно
Некоторое время назад я зарегистрировался на одной фриланс-бирже. Указал: коммерческий опыт на Rust — 1.5 года. Так и было на тот момент. Шло время, я…
Размышления python разработчика: что творится под капотом «Белого Списка» в российском интернете
Привет, Хабр! (И тебе, страдалец, который идя по улице не может зайти в приложения банка.) В последнее время меня не отпускает одна мысль. Она засела …
Identity-First Security: почему периметр умер окончательно и что приходит ему на смену
Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольц…
Nonce Observatory:
Nonce Observatory: как превратить цифровые подписи в систему наблюдаемых nonce-инвариантов Большинство историй про ECDSA/Schnorr nonce звучит одинаков…
Как работает GPT4Free в Python и почему его лучше не использовать
Представьте: вы открываете репозиторий g4f, видите пять строк кода — и вот уже ChatGPT отвечает на ваш вопрос, не спрашивая API-ключ и не прося денег.…
Q-LLL: как мы сделали LLL-редукцию наблюдаемой, управляемой и проверяемой
Мы привыкли воспринимать LLL-редукцию как «чёрный ящик»: подали целочисленный базис, получили редуцированный базис, проверили результат. Но что, если …