На днях Positive Technologies опубликовала новость о том, что банкоматы производителя Diebold Nixdorf (ранее Wincor), а точнее модели диспенсеров RM3 и CMDv5, содержат уязвимость, благодаря которой можно производить выдачу наличных и заливать модифицированную (уязвимую) прошивку. И поскольку я и мой бывший коллега Алексей Стенников имеем непосредственное отношение к нахождению этой уязвимости, я хотел бы поделиться некоторыми ее деталями.
Все потоки
- Новые
- Лучшие
- Все
- ≥0
- ≥10
- ≥25
- ≥50
- ≥100
Новости
Как сделать проект на Java Spring Boot?
Разбор планирования и логики работы небольшого Back-end проекта на Java Spring Boot
Проблемы репрезентации Империи в Звёздных войнах
Слышали ли вы когда-нибудь о том, что Империя в Звёздных войнах не злая? Я уверен, что да. Срачу между сторонниками того, что Империя это абсолютное зло и теми, кто считает, что Империя неплохое государство, уже многие десятки лет. Споры эти делят фанатское сообщество похлеще, чем срач вокруг мидихлориан или диснеевского канона, потому что он отягощён политическими предпочтениями фанатов, заблуждениями, эгоцентризмом и прочими когнитивными искажениями всех мастей. Причём Лукас сам сделал всё, чтобы ответить на вопрос «злая ли Империя?» было максимально сложно, но при этом он то сам имел однозначное мнение. И сейчас на примере этого сложного в своей простоте вопроса я покажу насколько всё плохо в ЗВ с непротиворечивостью канона.
Представляем Ansible Automation Platform 2, часть 2: контроллер автоматизации
Сегодня продолжим знакомство с новой версией платформы автоматизации Ansible и расскажем о появившемся в ней контроллере автоматизации Automation Controller 4.0. На самом деле это улучшенный и переименованный Ansible Tower, и он представляет собой стандартизованный механизм для определения автоматизаций, эксплуатации и делегирования в масштабе предприятия. Контроллер получил ряд интересных технологий и новую архитектуру, помогающих быстро масштабировать и внедрять автоматизации в ответ на растущие требования бизнеса.
В Германии испытывают электрическое шоссе
Теоретически, электрифицированное шоссе – это наиболее эффективный способ избавиться от выхлопа грузовиков. Мешают этому политические проблемы.
Расположенные над дорогой провода обеспечивают грузовики электричество на участке дороги протяжённостью пять километров, расположенном к югу от Франкфурта. Это позволяет испытать идею электрических шоссе на практике и реальных грузовиках.
На шоссе к югу от Франкфурта Томас Шмайдер перестроил свою гружёную красками фуру Scania в крайний правый ряд. Потом он щёлкнул переключателем, который вы не найдёте на большинстве приборных панелей грузовиков.
На крыше грузовика начало раскрываться устройство, похожее на рамку для сушки белья, на верхушке которого было что-то вроде салазок. И пока Шмайдер продолжал вести грузовик, на мониторе было видно, как металлические салазки поднялись и прикоснулись к идущим поверх полосы проводам.
В кабине стало очень тихо, дизельный двигатель остановился, и вместо него запустились электромоторы. Грузовик остался грузовиком, однако перешёл на такую же тягу, которую используют трамваи и поезда.
Умные часы – носимое устройство? Да, и телефон тоже. И даже ноутбук
Когда в пространство языка ворвался термин wearable (device), на русский его начали переводить одним из двух вариантов: носимый и нательный. Со временем первый вариант почти победил: поиск в Google по «носимые устройства» (с точным соответствием) дает 863 тыс., «нательные устройства» – только 3550. Сейчас я объясню, почему первый вариант неправильный.
DDoS — оружие в войне бизнесов: защищаться нельзя смириться?
Это расшифровка подкаста «Релиз в пятницу» от команды Timeweb для всех читателей «Хабра».
В новом выпуске ребята обсуждали не только громкие кейсы, но и в деталях объясняли, как технически устроены атаки.
Лампы-свечки из Fix Price
И снова про безопасность банков и СМС
Сегодня меня попытались "развести" интернет-мошенники. Схема обычная и нехитрая - "у вас скомпроментирована карта, пришлите код из СМС". Код, естественно, никуда не ушел, но мне стало любопытно какие мои данные "утекли" мошенникам и что же они могли сделать с кодом если бы я его им переслал, я проверил - и мне стало реально страшно.
Итак, господа, что нужно мошенникам для того чтобы полностью скомпроментировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты...
Андрей Ребров: Технический долг в процессах разработки
Недавно Андрей Ребров поделился в фб со своими читателями своим выступлением про «Техдолг в процессах разработки». С его разрешения, в рамках написания книги про выпускников YC, публикую тут его конспект.
Всем привет, я в разработке с 2008 года. С 2013 года я создаю технический долг в стартапе ScentBird (YC S15), где я являюсь сооснователем и техдиректором. Так же я технический консультант (помогаю техдиректорам) нескольких стартапов — в космической и игровой индустриях.
У нас в компании 40 человек в разработке (Engineering), Product Engineering — 55, общее число сотрудников — 160 человек.
Технический долг — ранее написанный код, который замедляет разработку новых возможностей продукта и как следствие замедляет развитие бизнеса.
Откуда берется технический долг
- Все начинается со слов: «Давайте сделаем MVP (MLP) поскорее.» Когда ставится задача «срезать углы», чтобы запуститься побыстрее. В стартапах такое случается постоянно, даже у нас после 8 лет.
- Еще есть COBOL и FORTRAN.
- Каждая компания тянет за собой не только технический долг в виде кода, но еще и в виде инженерных практик («У нас так принято»).
- Аутсорсинг и аутстаффинг. Многие аутсорсинговые компании накопили некоторое количество «внутренних библиотек». Если у библиотек нет официального саппорта — это потенциальная проблема.
Не бывает коммерчески успешного проекта без технического долга. Потому что всегда есть компромисс между качеством и сроками. Тут можно вспомнить слова Рида Хоффмана (основатель LinkedIn): «Если вам не стыдно за вашу первую версию продукта, то ваш продукт вышел на рынок слишком поздно.»
Стоит ли стремиться в FAANG или Большие минусы известных компаний
Привет, Хабр! Заметил, что в сети достаточно много авторских и переводных материалов по темам «как попасть в FAANG», «как пройти собеседование в FAANG», «как подготовиться к собеседованию в FAANG» и т.д. У меня сложилось впечатление, что само попадание в FAANG стало целью многих инженеров.
С одной стороны мотивация понятная, ведь такая работа — это престиж и высокий доход. Но с другой стороны (по моему скромному мнению) — это и сделка с совестью, потому что технологические гиганты делают много такого, в сравнении с чем прошлогодняя попытка Rambler отнять NGNIX у Игоря Сысоева, поднявшая всё сообщество на уши, покажется невинной шалостью. Об этом сегодня и поговорим, пройдясь по грешкам этих корпораций.
Важный дисклеймер: данный пост не ставит себе целью опорочить данные компании (мне кажется, это невозможно) или повлиять на ваше стремление попасть в них (это решать только вам). Я не питаю неприязни ни к одной из компаний (даже после всего того, что они делают) и мне нравятся многие их продукты (но за Facebook Messenger кто-то точно будет гореть в аду). Воспринимайте мой пост как некое развернутое напоминание, что никакую компанию не стоит идеализировать (даже если очень хочется).
Blazor: SPA без джаваскрипта для SaaS на практике
Когда в любой момент времени стало понятно, что такое this... Когда неявное преобразование типов осталось только в былинах аксакалов эпохи зарождения веба... Когда умные книжки по Javascript нашли свой бесславный конец в мусорках...
Всё это случилось когда мир фронтенда спас Он.
Ну ладно, сбавим обороты у нашей машины пафоса.
Сегодня я предлагаю вам взглянуть на возможности Blazor в версии .Net 6. Внезапно, под катом не будет очередного ПриветМир, а окажется полноценное SaaS веб-приложение, написанное на Блейзоре, пощупав которое вы сможете гораздо лучше оценить.
Укрепление психического здоровья сотрудников ведет к повышению их вовлеченности
Заложите основу
Когда вы работаете в отделе кадров (HR), на вас множество шляп. Вы одновременно предприниматель и тренер, учитель и чирлидер, психолог и предсказатель. Вам приходится подбирать подходящих сотрудников, разрабатывать стратегии, которые будут способствовать не только их успеху, но и успеху организации в целом.
Герметизация корпусов для электроники. Часть 1: пластик и резина
В этой статье мы расскажем и покажем, как обеспечить герметичность корпуса для электроники — сделать его непроницаемым для воды и пыли. Под катом вас ждет разбор стандарта IP с разными степенями защиты и сравнительный анализ методов герметизации на серийном производстве.
В первой части сфокусируемся на самом популярном материале — пластике — и посмотрим, как он себя проявляет при склейке, использовании уплотнителей и литье — многокомпонентном и перевормовке (overmolding). Во второй части разберем пять видов сварки. Этот метод герметизации подходит не только для металла, но и для термопластов.
В конце каждой части будет наглядная таблица, которая поможет выбрать оптимальную технологию для вашего проекта, с учетом всех «за» и «против». Поехали!
Go: как изменяется размер стека горутины?
Эта статья берет за основу Go 1.12.
Go радует нас легким и умным управлением горутинами. Легким, поскольку стек горутин изначально весит всего 2 КБ, а умным, потому что горутины могут автоматически увеличиваться/уменьшаться в соответствии с нашими потребностями.
Гайд по UIKeyboardLayoutGuide
Обработка показа клавиатуры – это распространенная задача при создании интерфейса приложения. С выходом iOS 14 это работает автоматически для SwiftUI компонентов. Но что со старым-добрым UIKit? Раньше мы использовали нотификации клавиатуры, проверяли ее высоту и обновляли необходимые constraints. В iOS 15 появился новый гайд —
UIKeyboardLayoutGuide
. Если вы уже знакомы с такими гайдами, как safeAreaLayoutGuide
и readableContentGuide
, новый покажется вам супер интуитивным. Давайте попробуем использовать его на простом примере — экране авторизации с текстовыми полями и кнопкой логина, закрепленной внизу.Большой брат (пока) подслеповат
Полагаю, прямо на наших глазах разворачивается переход между второй и третьей стадией принятия неизбежного (гнев и торг) по поводу повсеместно установленных умных камер, чья функция заключается в устранении последних следов приватности в общественных местах.
Распознавание лиц и биометрия — лишь частные случаи более обширных разработок в области машинного зрения, но именно эти аспекты воспринимаются максимально болезненно, поскольку человека угнетает повсеместная слежка.
Миграция данных из различных RDBMS в HADOOP
В статье будет рассмотрен процесс экспорта данных в Hadoop из различных РСУБД посредством фреймворка Spark. Для взаимодействия с фреймворком Spark будет использован язык программирования Python с применением api pySpark.
GitFlic: нас обвинили в «распиле» — мы не поняли почему, но посмеялись
Здравствуй, читатель!
"...Российский GitHub..." - за такую фразу в заголовке на Habr'e однажды зацепился мой взгляд. С предвкушением я нырнул под кат и... Увы, обнаружил лишь поверхностный обзор, щедро сдобренный издёвкой и скриншотами. Но, согласитесь, ведь не каждый день на горизонте событий возникает что-то IT-шное с припиской "российский", посему любопытство грубо вытолкало меня из раковины интроверта и заставило обратиться напрямую к наиболее надежному источнику - команде сервиса GitFlic.
#AcronisCyberFitSummit: день первый
Привет, Хабр! Буквально пару дней назад закончился Acronis #CyberFit Summit в Майами, и сегодня мы хотим рассказать, что происходило на традиционном форуме по кибербезопасности в этом году. Под катом вы найдете краткие выдержки из основных докладов первого дня, а также интересные цифры и полезные советы от самых ярких докладчиков форума.