🎙 Новый выпуск Responsible Disclosure Podcast: Сергей Белов — Digital Nomad, директор ИБ и секреты баланса жизни и карьеры

В гостях человек, чья жизнь — это сочетание профессионального роста и постоянных путешествий. Сергей за свою карьеру прошел путь от первых шагов в хакинге до руководителя отделов безопасности в Mail.Ru Group и Acronis.

Вы узнаете о его первых шагах в багбаунти, забавных и удивительных историях из ранних лет, поиске баланса между карьерой и страстью к путешествиям, а также жизни digital nomad: как жить без постоянного дома, не устать от переездов и сохранить личную гармонию.

Без серьезных тем тоже не обошлось. Сергей рассказал о роли директора в области безопасности, о том, как объяснить бизнесу важность инвестиций в секьюрити, и как избежать критических ошибок, которые могут стоить бизнесу миллионы. А в финале Сергей поделился своими мыслями о будущем IT Security в эпоху AI, а также полезными советами и ресурсами для зрителей.

⏳ Таймкоды:

00:00:00 — Введение, приветствие и представление Сергея Белова.
00:01:38 — Откуда начался интерес к хакингу и первые эксперименты.
00:02:35 — Первые успехи: взлом сетевой шары, использование диалапа и обучение через форумы.
00:05:25 — Переход к багбаунти: первые скрипты, зарплата в $15 и курьезы того времени.
00:07:20 — Первый крупный успех: выступление на ZeroNights и переход в консалтинг.
00:09:05 — Почему Сергей ушел из багбаунти и начал работать над защитой.
00:11:33 — Личная жизнь и путешествия: посещение Антарктиды и цель — все континенты до 30 лет.
00:16:05 — Жизнь digital nomad: усталость от переездов и поиск “дома”.
00:18:56 — Работа директора ИБ: как выглядят будни, стресс и уровень ответственности.
00:33:09 — Инциденты в безопасности: как их минимизировать и использовать плейбуки.
00:40:50 — Взаимодействие с бизнесом: как правильно объяснять важность безопасности.
00:44:17 — Комплаенс и безопасность в бизнесе: баланс между требованиями и реальной защитой.
00:46:14 — Будущее ИИ в безопасности: как трансформируется индустрия.
00:55:25 — Новые технологии и вызовы: квантовые компьютеры, обучение и адаптация.
01:00:44 — Заключение: пожелания зрителям и советы по карьере в ИБ.

⏯️ Смотреть или слушать полностью

#podcasts #bugbounty #infosec

👋 Всем привет!

Мы ищем участников для интервью на тему «Обучение навыкам в IT»!

Кто нам нужен?
— Вы недавно (в последние 6 месяцев) проходили курсы по техническим специальностям или математике.
— Вы разработчик, стремящийся освоить Data Science или Machine Learning.

Что нужно сделать?
— Участвовать в небольшом интервью по Zoom (не больше 45 минут).
— Вознаграждение: 1500 рублей на карту за участие + уникальный шанс пообщаться с нашим CEO!

Как откликнуться?
Напишите в личные сообщения @artem_ceo

❗Вакансии «Библиотеки программиста» — ждем вас в команде!

Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов

Подробности тут

Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴

Ждем ваших откликов 👾

👀 Открытая редакция: ищем авторов для рубрики DevLife

Друзья, нас часто спрашивают про публикацию материалов о личном опыте и знаниях в IT. Пора это систематизировать!

Если у вас есть история о том, как вы:
• выросли в профессии,
• освоили новые технологии,
• сделали крутой карьерный скачок,
• эпично лажанулись,
• создали интересные проекты,
— присылайте свои статьи на почту hello@proglib.io с темой DevLife.

Требования простые:
• реальный опыт,
• конкретные шаги,
• от 5000 знаков,
• ссылка на Google Docs.

Лучшие истории опубликуем на сайте и в наших соцсетях с общим охватом 1 млн + человек.

🤔 Преимущества использования PASETO (Platform-Agnostic Security Token) вместо JWT (JSON Web Token) для аутентификации в веб-разработке
 
Что такое PASETO?
• Это токен, разработанный как более безопасная и простая альтернатива JWT.
• Основное внимание уделяется шифрованию и цифровым подписям для обеспечения безопасности.
• В отличие от JWT, PASETO изначально безопасен и защищен от большинства уязвимостей.

👉 Преимущества перед JWT
1. Безопасность по умолчанию:
• PASETO использует только современные и стойкие алгоритмы шифрования.
• Исключает распространённые проблемы JWT.

2. Простота использования:
• В PASETO легко определить его назначение (local или public) по структуре токена.
• Меньше шансов допустить ошибки при настройке, чем с JWT.

3. Производительность: PASETO быстрее шифруется и расшифровывается, что снижает нагрузку на сервер.

👉 Недостатки
• Отсутствие RFC: на данный момент доступен только черновик спецификации.
• Реализации PASETO есть не для всех языков программирования.

👉 Когда использовать PASETO?
• Локальные токены: для защиты данных в cookies или параметрах HTTP-запросов.
• Публичные токены: для одноразовой аутентификации, например, в OpenID.

🔗 Источник иллюстрации

🤑 7 неочевидных методов разведки для поиска новых уязвимостей

Гайд от Intigriti, из которого вы узнаете про:

— целевые словари;
— перебор виртуальных хостов (VHost);
— forced browsing с использованием различных HTTP-методов;
— мониторинг JavaScript-файлов;
— обход с разными заголовками user-agent;
— поиск связанных ресурсов с помощью хэшей иконок;
— поиск устаревших версий JavaScript-файлов.

#bugbounty #recon