Методы брутфорс-атак
В прошлом посте мы узнали, что такое брутфорс, а теперь рассмотрим методы брутфорс-атак:
1. Перебор случайных символов: Хакеры просто пробуют все возможные комбинации символов - база.
Защита: Используйте длинные пароли с буквами разных регистров, цифрами и спецсимволами.
2. Перебор по словарю: Вместо случайных символов используются реальные слова и фразы из готовых словарей.
Защита: Не используйте легко угадываемые слова и комбинируйте их с вымышленными.
3. Гибридная атака: К реальному слову добавляются случайные символы - чуть лучше чем первые два)
Защита: Создавайте более сложные комбинации, чем просто «слово + число».
Узнать подробнее про другие более сложные методы можно в этой статье.
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
В прошлом посте мы узнали, что такое брутфорс, а теперь рассмотрим методы брутфорс-атак:
1. Перебор случайных символов: Хакеры просто пробуют все возможные комбинации символов - база.
Защита: Используйте длинные пароли с буквами разных регистров, цифрами и спецсимволами.
2. Перебор по словарю: Вместо случайных символов используются реальные слова и фразы из готовых словарей.
Защита: Не используйте легко угадываемые слова и комбинируйте их с вымышленными.
3. Гибридная атака: К реальному слову добавляются случайные символы - чуть лучше чем первые два)
Защита: Создавайте более сложные комбинации, чем просто «слово + число».
Узнать подробнее про другие более сложные методы можно в этой статье.
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21
Что такое DNS спуфинг?
DNS спуфинг — это вид атаки, когда DNS кэш заполняется поддельными данными, и пользователь перенаправляется на вредоносный сайт. Такие атаки могут быстро распространяться за счёт регулярного изменения DNS.
Есть множество вариантов отправки DNS кэш. Например, у DNS нет проверки и валидации. DNS-распознаватели не проверяют данные кэш, и в них остаются неверные записи, которые может быть удалены в ручную или по истечению TTL.
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
#чтотакое
DNS спуфинг — это вид атаки, когда DNS кэш заполняется поддельными данными, и пользователь перенаправляется на вредоносный сайт. Такие атаки могут быстро распространяться за счёт регулярного изменения DNS.
Есть множество вариантов отправки DNS кэш. Например, у DNS нет проверки и валидации. DNS-распознаватели не проверяют данные кэш, и в них остаются неверные записи, которые может быть удалены в ручную или по истечению TTL.
Ставьте «❤️», если пост оказался полезным!
#чтотакое
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19
Поздравляю всех подписчиков с наступающим 2025!
Во первых, хочу выразить огромную благодарность за прошедний 2024 год. Ровно 365 дней обратно канал преодолел отметку в 1000 подписчиков, а сейчас нас уже почти что 7500, если честно, даже не верится.
Обещаю, что в следующем году качество контента вырастет в разы, а от вас буду так же ждать поддержки в виде реакций и подписок :)
Желаю, что бы в 2025 вы добились всех своих целей, что бы вас постоянно преследовала удача и каждый день был полон новых идей, ну и конечно же счастья, здоровья и любви! Работа работой, но про личную жизнь тоже не стоит забывать. Даже программисты заслуживают тепла и радости. 😊
Всех мысленно обнял и еще раз поздравляю с наступающим новым годом!
print('Happy New Year, Берлога Программистов! 🎅')Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28❤12
Зачем нужен TTL?
TTL (Time to Live) — это метод, который определяет сколько времени данные будут храниться в сети, прежде чем их надо удалить или обновить. Это помогает держать информацию актуальной и не дает ей бесконечно блуждать по сети.
Представьте, что вы отправляете другу письмо с 5-дневным сроком доставки. Если оно не будет получено в течении этого времени, то оно уничтожится. В интернете аналогичный срок называется TTL и он регулирует передачу данных.
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
#чтотакое
TTL (Time to Live) — это метод, который определяет сколько времени данные будут храниться в сети, прежде чем их надо удалить или обновить. Это помогает держать информацию актуальной и не дает ей бесконечно блуждать по сети.
Представьте, что вы отправляете другу письмо с 5-дневным сроком доставки. Если оно не будет получено в течении этого времени, то оно уничтожится. В интернете аналогичный срок называется TTL и он регулирует передачу данных.
Ставьте «❤️», если пост вам понравился!
#чтотакое
Please open Telegram to view this post
VIEW IN TELEGRAM
❤28
Быстрый способ изучить Vim
Vim — это действительно замечательный текстовый редактор для программистов, но его освоение требует значительных усилий и времени. Тем не менее, люди всегда находят способы упростить себе задачу.
Так вот, на GitHub обновилась шпаргалка по Vim до версии 2.5, получив новые команды, улучшенную визуализацию, а ещё теперь её можно скачать в форматах PDF и PNG!
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
Vim — это действительно замечательный текстовый редактор для программистов, но его освоение требует значительных усилий и времени. Тем не менее, люди всегда находят способы упростить себе задачу.
Так вот, на GitHub обновилась шпаргалка по Vim до версии 2.5, получив новые команды, улучшенную визуализацию, а ещё теперь её можно скачать в форматах PDF и PNG!
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24
Хакеры взломали десятки Chrome-расширений
На днях хакеры взломали 35 Chrome-расширений, которыми пользуются около 2,6 млн человек! Они внедряли скрипты, которые крали данные от Facebook*.
Атака происходила следующим образов:
Хакеры отправляли разработчикам фишинговые письма и под предлогам нарушения правил Google они попадали на страницу Google OAuth, где предлагалось предоставить доступ к управлению расширениями.
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
На днях хакеры взломали 35 Chrome-расширений, которыми пользуются около 2,6 млн человек! Они внедряли скрипты, которые крали данные от Facebook*.
Атака происходила следующим образов:
Хакеры отправляли разработчикам фишинговые письма и под предлогам нарушения правил Google они попадали на страницу Google OAuth, где предлагалось предоставить доступ к управлению расширениями.
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤48🔥5👎2
Релиз за два месяца!?
Да, разработчики Ruby всего за два месяца подготовили релиз 3.4.0. За столь короткий срок было добавлена множество нововведений и улучшений.
Например, ускорение JSON.parse — стал работать в 1,5 раза быстрее. Ещё добавили расширенную работу с аргументами. Теперь в Ruby можно загружать сторонние сборщики мусора.
Узнать про другие изменения и скачать новую версию можно здесь!
Ставьте «❤️», если пост оказался интересным!
✔ Меню канала
Да, разработчики Ruby всего за два месяца подготовили релиз 3.4.0. За столь короткий срок было добавлена множество нововведений и улучшений.
Например, ускорение JSON.parse — стал работать в 1,5 раза быстрее. Ещё добавили расширенную работу с аргументами. Теперь в Ruby можно загружать сторонние сборщики мусора.
Узнать про другие изменения и скачать новую версию можно здесь!
Ставьте «❤️», если пост оказался интересным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17
Невидимая атака веб-страниц
Clickjacking (UI redressing) – это вид атаки, при которой злоумышленники создают вредоносные веб-страницы. Атака осуществляется путем накладывания невидимых элементов на iframe.
iframe – HTML-элемент, позволяющий встроить одну веб-страницу в другую.
Нажатия на эти элементы могут привести к вредоносным действиям, например, авторизации OAuth или принятия запроса MFA.
Но разработчики не стоят на месте и с течением времени внедрили меры защиты от таких атак: Запрет передачи cookie между сайтами, введение X-Frame-Options и frame-ancestors
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Clickjacking (UI redressing) – это вид атаки, при которой злоумышленники создают вредоносные веб-страницы. Атака осуществляется путем накладывания невидимых элементов на iframe.
iframe – HTML-элемент, позволяющий встроить одну веб-страницу в другую.
Нажатия на эти элементы могут привести к вредоносным действиям, например, авторизации OAuth или принятия запроса MFA.
Но разработчики не стоят на месте и с течением времени внедрили меры защиты от таких атак: Запрет передачи cookie между сайтами, введение X-Frame-Options и frame-ancestors
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤31🔥2
Linux удалил небезопасный сетевой протокол
На днях все драйверы протокола RNDIS были полностью удалены из Linux, так как он не способен обеспечить безопасность в современных условиях.
Ранее этот протокол использовался для подключения сетевых устройств через USB, но теперь он считается ненадежным. Android также отказался от него, но вот Windows пока еще сохраняет его поддержку.
Ставьте «❤️», если пост оказался познавательным!
✔ Меню канала
На днях все драйверы протокола RNDIS были полностью удалены из Linux, так как он не способен обеспечить безопасность в современных условиях.
Ранее этот протокол использовался для подключения сетевых устройств через USB, но теперь он считается ненадежным. Android также отказался от него, но вот Windows пока еще сохраняет его поддержку.
Ставьте «❤️», если пост оказался познавательным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤41
Языковые модели ещё не способны на сложные тесты
Ещё недавно языковые модели, такие как GPT-4, показывали действительно удивительные результаты в тестах на теорию разума. Казалось, языковые модели разработали теорию разума (ToM).
Чтобы проверить правильность результатов, был разработан фреймворк ExploreToM. Он создает действительно сложные тесты на теорию разума.
В итоге, протестировав модели GPT-4, Mixtral и Llama, результаты оказались плачевными. Эти модели отвечали правильно только в 9% случаев, а иногда неверно отвечали на каждый вопрос.
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Ещё недавно языковые модели, такие как GPT-4, показывали действительно удивительные результаты в тестах на теорию разума. Казалось, языковые модели разработали теорию разума (ToM).
Чтобы проверить правильность результатов, был разработан фреймворк ExploreToM. Он создает действительно сложные тесты на теорию разума.
В итоге, протестировав модели GPT-4, Mixtral и Llama, результаты оказались плачевными. Эти модели отвечали правильно только в 9% случаев, а иногда неверно отвечали на каждый вопрос.
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22🔥2👎1
Как проверяют ответы от DNS-сервера?
DNSSEC — это протокол, который осуществляет проверку подлинности ответа от DNS-сервера. Его используют, чтобы защититься от подмены IP-адресов.
Один из примеров пользы DNSSEC — защита от DNS-спуфинг, ведь он может предотвратить отравление DNS-кэша. Проверить ваш домен на наличие DNSSEC можно через DNSSEC Test.
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
DNSSEC — это протокол, который осуществляет проверку подлинности ответа от DNS-сервера. Его используют, чтобы защититься от подмены IP-адресов.
Один из примеров пользы DNSSEC — защита от DNS-спуфинг, ведь он может предотвратить отравление DNS-кэша. Проверить ваш домен на наличие DNSSEC можно через DNSSEC Test.
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22
Новая вредоносная программа в RuStore
Новая программа под названием "Telegram Premium" распространяется через фишинговые сайты на GitHub, имитирующие RuStore. Заходя на такой сайт, вам предлагается скачать файл "GetAppsRu.apk".
Этот файл маскируется с помощью DexGuard, чтобы избежать обнаружения. Затем получая доступ к устройству устанавливает вредоносное приложение «Telegram Premium.apk» и начинает собирать данные, отправляя их в свою БД.
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Новая программа под названием "Telegram Premium" распространяется через фишинговые сайты на GitHub, имитирующие RuStore. Заходя на такой сайт, вам предлагается скачать файл "GetAppsRu.apk".
Этот файл маскируется с помощью DexGuard, чтобы избежать обнаружения. Затем получая доступ к устройству устанавливает вредоносное приложение «Telegram Premium.apk» и начинает собирать данные, отправляя их в свою БД.
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤26🔥2👎1
Почему джуны путаются в асинхронном кодом?
Новички часто путаются в асинхронном коде, ведь они привыкли мыслить последовательно. Для начала стоит понять, что асинхронность сама по себе не обязательно означает параллельность на уровне потоков.
То есть асинхронное выполнение — это когда код не блокируется на ожидающих операциях и продолжает работу, а параллельное выполнение — когда задачи действительно идут одновременно на нескольких ядрах.
Разобраться в этой теме вам поможет эта статья!
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
Новички часто путаются в асинхронном коде, ведь они привыкли мыслить последовательно. Для начала стоит понять, что асинхронность сама по себе не обязательно означает параллельность на уровне потоков.
То есть асинхронное выполнение — это когда код не блокируется на ожидающих операциях и продолжает работу, а параллельное выполнение — когда задачи действительно идут одновременно на нескольких ядрах.
Разобраться в этой теме вам поможет эта статья!
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22
Что такое CRUD?
Расшифровка CRUD означает Create Read Update Delete, ведь эти четыре функции являются ключевыми принципами, которым следуют разработчики и программисты при создании надежных API.
Некоторые языки программирования следуют CRUD, например, Python, Java и PHP. Чтобы разобраться в этой теме и создавать хорошие API, я нашел для вас подробное видео о CRUD, которое займёт у вас всего 6 минут!
Приятного просмотра :)
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Расшифровка CRUD означает Create Read Update Delete, ведь эти четыре функции являются ключевыми принципами, которым следуют разработчики и программисты при создании надежных API.
Некоторые языки программирования следуют CRUD, например, Python, Java и PHP. Чтобы разобраться в этой теме и создавать хорошие API, я нашел для вас подробное видео о CRUD, которое займёт у вас всего 6 минут!
Приятного просмотра :)
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18
Создаем свой CRUD API
Существуют разные виды API, например, REST, SOAP, WebSockets и GraphQL. Но в этой статье будет использоваться REST API с Node.js и Express.
Прочитав эту статью, у вас получится полностью функциональный API, способный выполнять CRUD операции. Сделав CRUD API вы не только научитесь новому в бэкенде, но и прокачаете свой английский.
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
Существуют разные виды API, например, REST, SOAP, WebSockets и GraphQL. Но в этой статье будет использоваться REST API с Node.js и Express.
Прочитав эту статью, у вас получится полностью функциональный API, способный выполнять CRUD операции. Сделав CRUD API вы не только научитесь новому в бэкенде, но и прокачаете свой английский.
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15
Презентация в терминале!?
Разработчик Bas Nijholt представил утилиту "Tuitorial", которая позволяет создавать презентации внутри терминала, а так же даёт обучающий материал к ней внутри терминала.
Tuitorial — подходит для демонстрации кода и технологий в терминале, а ещё помогает создавать интерактивные обучающие материалы.
Установить её можно через команду
Официальная документация к Tuitorial
Ставьте «❤️», если пост вас удивил!
✔ Меню канала
Разработчик Bas Nijholt представил утилиту "Tuitorial", которая позволяет создавать презентации внутри терминала, а так же даёт обучающий материал к ней внутри терминала.
Tuitorial — подходит для демонстрации кода и технологий в терминале, а ещё помогает создавать интерактивные обучающие материалы.
Установить её можно через команду
pip install tuitorial
Официальная документация к Tuitorial
Ставьте «❤️», если пост вас удивил!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24🔥4
Как избежать выгорания?
Постоянное обучение и освоение новых навыков могут привести к выгоранию на фоне дедлайнов и стресса. Признаки выгорания могут быть разные, например, усталость, потеря мотивации, низкая продуктивность и т. д.
Но как избежать этого? К счастью существует множество способов и методов, которые помогут остаться продуктивным и не выгореть.
В этой статье вы познакомитесь с девятью способами предотвращения выгорания!
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Постоянное обучение и освоение новых навыков могут привести к выгоранию на фоне дедлайнов и стресса. Признаки выгорания могут быть разные, например, усталость, потеря мотивации, низкая продуктивность и т. д.
Но как избежать этого? К счастью существует множество способов и методов, которые помогут остаться продуктивным и не выгореть.
В этой статье вы познакомитесь с девятью способами предотвращения выгорания!
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤26
Как избежать ИИ-контента?
Chrome расширение Pre-AI Search Filter поможет очистить результаты поиска в Google от нежелательного контента, созданного ИИ, оставляя лишь точные результаты.
Это расширение автоматически выявляет сайты, содержащие сгенерированный контент. С помощью удобного интерфейса вы можете вручную настраивать фильтры поиска.
Ставьте «❤️», если пост оказался полезным!
✔ Меню канала
Chrome расширение Pre-AI Search Filter поможет очистить результаты поиска в Google от нежелательного контента, созданного ИИ, оставляя лишь точные результаты.
Это расширение автоматически выявляет сайты, содержащие сгенерированный контент. С помощью удобного интерфейса вы можете вручную настраивать фильтры поиска.
Ставьте «❤️», если пост оказался полезным!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤26🔥4
Google AI Studio теперь доступна как PWA!
Google представила функционал PWA для AI Studio, тем самым позволяя устанавливать его как приложение на ПК, iOS и Android, не используя браузер.
Чтобы скачать AI Studio на ПК и Android, нужно посетить сайт Google AI Studio (используйте VPN), где будет кнопка скачать, а на iOS пользователи могут добавить Google AI Studio на главный экран через Safari.
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Google представила функционал PWA для AI Studio, тем самым позволяя устанавливать его как приложение на ПК, iOS и Android, не используя браузер.
Чтобы скачать AI Studio на ПК и Android, нужно посетить сайт Google AI Studio (используйте VPN), где будет кнопка скачать, а на iOS пользователи могут добавить Google AI Studio на главный экран через Safari.
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23
Что такое CSRF-атака?
CSRF (cross-site request forgery) — это атака, при которой злоумышленник с помощью поддельного сайта или скрипта заставляет браузер пользователя выполнять действия от его имени, например, отправлять сообщения, менять пароли и переводить деньги.
Например, человек, авторизованный на сайте банка, может кликнуть по фишинговой ссылке с запросом на перевод денег на счет мошенника. Из-за авторизации обработается запрос на перевод.
CSRF-атака не предназначена для кражи конфиденциальных данных, а для выполнения нежелательных действий от имени пользователя вполне подходит.
Ставьте «❤️», если пост оказался интересным!
✔ Меню канала
#чтотакое
CSRF (cross-site request forgery) — это атака, при которой злоумышленник с помощью поддельного сайта или скрипта заставляет браузер пользователя выполнять действия от его имени, например, отправлять сообщения, менять пароли и переводить деньги.
Например, человек, авторизованный на сайте банка, может кликнуть по фишинговой ссылке с запросом на перевод денег на счет мошенника. Из-за авторизации обработается запрос на перевод.
CSRF-атака не предназначена для кражи конфиденциальных данных, а для выполнения нежелательных действий от имени пользователя вполне подходит.
Ставьте «❤️», если пост оказался интересным!
#чтотакое
Please open Telegram to view this post
VIEW IN TELEGRAM
❤31
Как защититься от CSRF-атак?
Самым популярным и эффективным способом защиты от CSRF-атак является использование токенов. Такие токены сервер отправляет клиенту, а затем клиент возвращает серверу.
Токены должны быть уникальны для каждой операции, одноразовые, ограниченные по времени и должны быть сгенерированы криптографически стойким генератором псевдослучайных чисел.
Существует 3 метода использования токена:
Synchronizer Tokens (Statefull) - простой и хранится на стороне сервера.
Double Submit Cookie (Stateless) - передается пользователю через куки и в одном из параметров ответа (header или внутри HTML).
Encrypted Token (Stateless) - главной особенностью этого метода является зашифрование особым ключем. Не зная его, клиент не сможет его подделать.
Подробнее про работу этих методов можно узнать в этой статье!
Ставьте «❤️», если пост вам понравился!
✔ Меню канала
Самым популярным и эффективным способом защиты от CSRF-атак является использование токенов. Такие токены сервер отправляет клиенту, а затем клиент возвращает серверу.
Токены должны быть уникальны для каждой операции, одноразовые, ограниченные по времени и должны быть сгенерированы криптографически стойким генератором псевдослучайных чисел.
Существует 3 метода использования токена:
Synchronizer Tokens (Statefull) - простой и хранится на стороне сервера.
Double Submit Cookie (Stateless) - передается пользователю через куки и в одном из параметров ответа (header или внутри HTML).
Encrypted Token (Stateless) - главной особенностью этого метода является зашифрование особым ключем. Не зная его, клиент не сможет его подделать.
Подробнее про работу этих методов можно узнать в этой статье!
Ставьте «❤️», если пост вам понравился!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥2