Маркетинг

Как он мимо анализа пройти не смог...

В компании «Арбис» используется стек, который давно оброс стереотипами и предрассудками — это 1С:Платформа. Более того, у большинства 1С прочно связана с бухгалтерией. И, хотя в Арбис программный продукт вообще с ней не связан — это облачное решение, сервис на 1000 пользователей — опытных спецов по 1С для него просто нет. 

И в довершение, компания базируется в Архангельске, где есть утечка кадров в большие города и нет рынок вакансий в принципе небольшой. Даже хуже. Процветает хантинг сотрудников, потому что Абрис — единственная компания, которая воспитывает и учит специалистов по 1С.

Где искать людей? Компания сделала ставку на джунов. Об этом на конференции TeamLead Conf 2021 рассказала Маргарита Маковеева, которая каждого сотрудника в своем отделе выращивала с нуля. И сегодня мы опишем подробности ее решения. Видео ее выступления можно посмотреть здесь.

Со времени последней конференции по языку программирования Rust прошло уже 3 года. Думаем, русскоязычному сообществу rust-разработчиков пора собраться вместе. 

На rust написаны или частично-написаны проекты Huawei, JetBrains, Rambler, Лаборатория Касперского, Нетология, МТС, Kupibilet, Funcorp и количество проектов продолжает расти. К тому же в 2021 году Rust шестой раз подряд был признан самым любимым языком программирования по результатам ежегодного опроса Stack Overflow. Из разряда экзотики Rust постепенно перемещается … Впрочем, давайте вместе выясним, какую нишу он займет. Приглашаем спикеров и участников на единственную в России конференцию для тех, кто пишет языке Rust и тех, кто им интересуется. Темы и формат под катом.

Привет, Хабр! Мы продолжаем разбирать наиболее примечательные моменты майской кибербитвы The Standoff. Это отличный шанс подготовиться к новому противостоянию, которое пройдет уже 15 и 16 ноября. Еще не знаете подробностей? Читайте их в нашем блоге.

Сегодня расследуем ряд атак на периметре и внутри сети, выявленных нашей NTA-системой — PT Network Attack Discovery (PT NAD). Разберем, какие тактики и техники по матрице MITRE ATT&CK использовали атакующие для проникновения в инфраструктуру и на дальнейших этапах, и обсудим, могут ли подобные инциденты произойти в реальности. Это заключительная часть цикла материалов, посвященного результатам работы наших решений на The Standoff 2021. Если пропустили наши статьи, то скорее читайте о том, что интересного поймала наша песочница PT Sandbox, как межсетевой экран уровня приложений PT Application Firewall помогал защищать город от нападающих и какую секретную информацию об атаках нам поведал MaxPatrol SIEM.

В ноябре белые хакеры и специалисты по информационной безопасности соберутся на крупнейшей в мире открытой кибербитве The Standoff Moscow. Мы обновились и готовим для вас тренировки на киберполигоне, открытые киберучения, технические доклады от молодых профессионалов и погружение в вопросы инвестиций в кибербез. На такое количество нововведений потребовалось больше времени, чем планировалось, но уже 15 и 16 ноября специалисты по ИБ попытаются взломать броню компаний из различных отраслей, включая Positive Technologies. А еще мы покажем новую онлайн-платформу Standoff365 для проведения киберучений в режиме 24/7/365.

Он нажал пробел и новые потоки экранной боли хлынули через глазки прямо к мозгу. Я думал: «Ну как можно быть таким именитым тренером и показывать такую дрянь на проекторе!?»  На меня смотрели миллионы маленьких разноцветных циферок сведенных в какую-то табличку, сбоку был приляпан милый стоковый песик. Тренер тыкал в каждую циферку лазерной указкой и что-то там объяснял. Я думал об одном: «Зачем на слайде этот песик?»

Какие атаки на клиентскую часть веб-ресурсов вы знаете? XSS, CSRF, HTTP Response Splitting, Clickjacking, CSHM, атаки на CORS, следствия других ошибок программистов? В среднем разработчик вспоминает не половину, и даже не треть. Разнообразие атак зависит только от фантазии и любопытства злоумышленников, и все они созданы, чтобы навредить вашим клиентам, а значит — и вам.

Татьяна Новикова — ex-пентестер с опытом в безопасности около четырех лет, а ныне Application Security Engineer. В команде ЦАРКА (Центр анализа и расследования кибератак) она занималась пентестом — полной проверкой веб-ресурсов  на безопасность. В том числе команда работала с white-box, то есть с исходными кодами, и разбирала безопасность не только бэкенда, но и фронтенда. Сейчас Татьяна перешла в Beeline Казахстан и занимается обеспечением процессов безопасной разработки.

На основе своего опыта она выступила на конференции Frontend Conf Live 2020. В одной статье, конечно, невозможно покрыть все уязвимости и потенциальные опасности, поэтому сегодня будет самое актуальное и страшное из доклада — то, что может нанести максимальный ущерб.

Давно мы тут не писали, но наконец-то появился повод исправиться. Но для начала представимся для тех, кто с нами еще не знаком.

MoscowJS — это ИТ-сообщество разработчиков на JavaScript. Мы проводим регулярные неформальные бесплатные мероприятия в онлайне и офлайне уже больше 10 лет подряд. Подробнее о нас и команде организаторов можно прочитать на нашем сайте.

После долгого перерыва и экспериментов в онлайне мы, наконец, вернулись в офлайн — и в партнерстве с TINKOFF 11 сентября провели в Москве большую юбилейную конференцию MoscowJS 50. Дважды юбилейную — этим событием мы отметили сразу и круглое число в названии встречи и десятилетие нашего сообщества. Под катом вы найдете ссылки на записи докладов и много-много фотографий. 

Текстов об «успешных DevOps-трансформациях» уже множество. Но одно дело — менять культуру в небольшой компании, а другое — в гиганте с полувековой историей. Если ты прославился закрытым десктопным продуктом, релизный цикл которого длится годы (Windows), как осваивать новые реалии (опенсорс, облака, постоянные деплои)?

О том, как менялась компания Microsoft, на нашей конференции DevOops рассказала Саша Розенбаум (на момент доклада — продакт-менеджер в GitHub). Не стоит ждать тут сенсационного срыва покровов, позволяющего немедленно принести девопс-культуру в любую компанию. Но отзывы зрителей показали: заглянуть внутрь гиганта, решения которого использует вся планета, им было интересно.

Поэтому мы сделали для Хабра текстовую версию доклада (а также прикладываем оригинальную видеозапись). Далее — повествование от лица спикера.

Межсерверные (server-to-server или S2S) события позволяют отслеживать кастомные события и параметры через HTTP запросы. Они часто используются в мобильной атрибуции, например, в Appsflyer или в Adjust. При этом S2S события можно использовать и в Amplitude. Рассказываем как это настроить.

По традиции делимся материалами своего последнего митапа для аналитиков. В этот раз записи могут пригодиться тем, кто нанимает людей в команду и начинает выстраивать аналитические процессы, сотрудникам маркетплейсов и площадок для объявлений, а также SCRUM-мастерам. 

Многие программисты хотели бы поучаствовать в открытой разработке. Но зачастую они сталкиваются с проблемой – непонятно, как сделать первый вклад в Open Source, какие для этого нужны навыки и какие практические шаги, чтобы созданный код был правильно оценен, принят в проект, и предложенное решение было полезно сообществу.

Чтобы помочь новичкам сделать первые шаги к личному коммиту, я и мои коллеги в Samsung R&D Institute Russia (SRR) провели онлайн-школу «Community of Open Source Newcomers» (COMMoN), совместно с партнерами – компаниями Arenadata и DeepPavlov.ai. Под катом – ссылки на видеозаписи всех занятий школы.

Привет! В этот четверг, 7 октября, в 19:00 мы проведем митап для системных аналитиков.

Будет две части, открытая (онлайн-трансляция) и закрытая (офлайн в офисе, без трансляции, записи не будет). Вход бесплатный, надо лишь зарегистрироваться заранее и выбрать удобный формат.

2+ часа, 4 спикера.

Каждому из нас приходилось адаптироваться на новом месте. Многим знакомо то чувство неопределённости и страха, когда перед тобой новая задача, а ты только делаешь первые шаги в профессии. Как быстро находить решение и приступать к задаче? Какой метод выбрать для описания требований? Что первично — макеты интерфейсов или архитектура системы? Какие технологии будут использоваться в разработке?

19:00 — Выживание аналитика в дикой природе, или как не опустить руки, разбираясь с задачей на новой работе

Юлия Капранова, ведущий системный аналитик

Поделюсь с вами тем, как то, что лежит на поверхности, помогает аналитику решать поставленные задачи и развиваться как специалисту.

19:30 — Use case и user story, что лучше использовать и когда.

Алёна Разбежкина, ex-ведущий системный аналитик Альфа-Банка

Разберём, в каких случаях больше подойдёт use case, а в каких — user story. Поделюсь с вами шаблоном use case, который используют аналитики Альфа-Банка.

20:00 — Макеты дизайнера или архитектура? От чего отталкиваться при разработке?

Павел Бондаренко, главный системный аналитик

Может ли аналитик влиять на клиентские сценарии продукта? Как синхронизировать красивые макеты и не всегда красивый back-end? Попытаемся ответить в докладе.

Создание баннеров иногда превращается для интернет-маркетолога в головную боль, которая не проходит неделями. Особенно когда баннеры нужны с анимацией и для разных рекламных площадок. Планируя большую кампанию контекстной рекламы, в минской сети доставки суши задумались: а есть ли сервис, который сгенерирует им сотню анимированных HTML5-баннеров с кастомным дизайном и сразу под требования рекламных сетей? Такой сервис нашёлся, он называется Pikaban. Давайте посмотрим, как им воспользовались в этой сети доставки и что из этого получилось.

RPA (robotic process automation) – это компьютерная программа-робот, имитирующая действия человека в различных системах. В отличие от традиционных софтверных решений RPA взаимодействует с другими ИТ-системами через пользовательский интерфейс, имитируя работу конечного пользователя. Аббревиатура RPA впервые в мире появилась в 2012 году, а с 2015 года западные компании начали массово внедрять эту технологию. В России первые упоминания в федеральных СМИ об RPA появились в 2018 году, а первые внедрения в российских компаниях начали происходить в 2017 году.

С большой долей вероятности, даже если вы никогда не сдавали ДНК-тест, вас уже можно идентифицировать.

Почему письма Умного голосования попали в спам пользователей Mail.ru. Mail.ru против Умного голосования?

Кто только не боролся с Умным голосованием во время выборов в Госдуму. Роскомнадзор блокировал сайт, Apple и Google удаляли приложение, YouTube — ролики со списками кандидатов, а Павел Дуров даже остановил телеграм-бота Умного голосования. Про все эти случаи много и громко говорили. Но мало кто заметил еще одну блокировку, которую, судя по нашим данным, по-тихому провел Mail.ru. Речь о рассылках.

Коротко о том, что произошло:

Mail.ru отправлял в спам письма, связанные с Умным голосованием. Письма с кандидатами и письма об итогах УмГ. В дни выборов и не во время выборов. На всех основных доменах команды Навального: rus.vote, navalny.com и fbk.info. Есть небольшие шансы на то, что это какая-то наша ошибка, но, скорее всего, дело в сознательной пессимизации писем об Умном голосовании. Одновременно с этим Google вообще никак не изменил отношение к нашим рассылкам, что указывает на инициативу Mail.ru.

А теперь немного подробностей.

Рассказываем о трудностях, с которыми столкнулись рассылки Умного голосования, и о небольшом расследовании их причин.

В период с 10 по 24 сентября почтовый сервис Mail.ru сильно снизил доставляемость рассылок с доменов rus.vote, navalny.com и fbk.info. Без видимых и обоснованных причин. Говоря проще, большая часть писем либо падала в спам, либо вообще не доходила до пользователей — Mail.ru блокировал доставку.

5-19 сентября пройдёт конференция Graph+AI Summit 2021 для людей, не равнодушных к графовой аналитике и машинному обучению. Мероприятие будет проходить в смешанном формате онлайн и оффлайн, участие бесплатное, старт в 18:00 по МСК.

Организатором выступила компания TigerGraph, создатель одноименной Графовой БД и аналитической платформы, а в программе будут доклады от спикеров из различных компаний: Gartner, Dell Technologies, Mastercard, Intuit Corporatio, Optum, Mercury NZ и др.

Между 5 и 19 октября будут воршопы, примеры реализаций по индустриям (ФинТех, БиоТех, Медиа, Реклама и Ритейл), тренинги и сертификации.

Почему это интересно? Будущий Графовый язык запросов GQL - первый за 40 лет язык запросов к БД, который ISO комитет решил стандартизироваать после SQL. И как говорит Марк Бейер, вице-президент-аналитик Gartner “To Graph or Not to Graph? That is NOT the Question – You Will Graph.”

Для тех, кто сразу хочет присоединиться к одному из 10000 участников, ссылка на регистрацию. Под катом - пример использования для борьбы с мошенническими звонками на примере China Mobile.