Самые известные олдовые компьютерные вирусы. Chameleon (1990 год).
• В начале 1990 года появился первый полиморфный вирус — Chameleon. Ранее общепринятым способом опознания конкретного вируса было выделение характерной фиксированной части его кода (сигнатуры). Даже шифрованные с переменным ключом вирусы могли быть опознаны по коду расшифровщика. Однако с появлением полиморфных вирусов это стало невозможно. Подобные вирусы используют несколько методов изменения своего кода, так что разные экземпляры одного вируса не имеют ни одного характерного участка кода.
• «Хамелеон» во многом стал развитием идей, заложенных создателем «Каскада», о котором упоминалось ранее. Собственно, его автор Марк Уошбёрн прочитал книгу Ральфа Бюргера «Computer Viruses. The Disease of High Technologies», заинтересовался идеей, взял за основу вирус «Vienna», и дополнил её продвинутой, самостоятельно меняющейся системой шифрования на основе «Cascade».
• Если у «Каскада» при разнообразно зашифрованном теле вируса сам дешифровщик был одинаковым, что позволяло вычислять код вируса по сигнатуре, то у «Хамелеона» никакой постоянной сигнатуры попросту не существовало. Она менялась при каждом новом заражении без вмешательства создателя посредством «вшитого» рандомайзера, ключом служило системное время. Уошбёрн пояснял, что хотел продемонстрировать несовершенство существующих систем борьбы с вирусами на основе сигнатур, простым поиском заранее известных фрагментов кода.
• Создатели антивирусов по всему миру схватились за головы и занялись поисками более продвинутых систем обнаружения вирусов с помощью дешифраторов и алгоритмических языков.
• Вреда вирус не наносил, будучи по сути демонстратором технических возможностей. После запуска он искал файлы в текущем каталоге, используя маску *.com. При обнаружении он проверял, не равен ли размер файла 10 или 63 488 байтам. Если нет, то он записывал три байта в начало и 1260 байт в конец (откуда и второе название, «1260»).
• Естественно, наработку тут же взяли на вооружение и авторы действительно злокозненных вирусов. Но это уже совсем другая история...
#Разное
11:00 21-02-2026
Электронные часы 1975 года. «Calculator» от Pulsar.
• "Calculator" [фото 1] – один из первых калькуляторов в наручных часах, выпущенный компанией Pulsar в конце 1975 года перед рождественскими праздниками. Первый «ограниченный выпуск» из 100 экземпляров выпустили в корпусах из 18-каратного золота по невероятной цене в $3950 [на момент 1975 года]. Тем не менее, его ждал огромный успех, и через несколько месяцев появилась более доступная версия в корпусе из нержавеющей стали по цене в $550.
• Calculator рекламировали, как подарок «человеку, у которого до этого момента всё было». Даже президент США Джеральд Рудольф Форд хотел себе такой калькулятор на рождество 1975 года. В первой версии стоял 901-й модуль, а в 1977 году появился улучшенный 902-й модуль, с немного переставленными кнопками и функцией включения движением запястья (внутри стоял инерционный выключатель). Часы работали от четырёх (!) батареек 357. А вычисления на мелких кнопочках можно было вести при помощи ручки со стилусом, шедшей в комплекте.
• Pulsar первой вывела на рынок наручные часы с калькулятором, однако вскоре на рынке появились и конкуренты. Сегодня кроме Pulsar наиболее известными светодиодными калькуляторами остаются Hughes Aircraft Calculator и очень популярный у коллекционеров научный калькулятор Hewlett-Packard HP-01 от 1977 года, экземпляров которого было выпущено крайне мало. Самый редкий калькулятор – это часы Uranus с кнопками, расположенными вокруг дисплея [фото 2].
#Разное
11:00 20-02-2026
Обзор книг по Python для новичков.
• Мне попался очень интересный плейлист, в котором можно найти рецензию на определенную книгу для изучения Python. Если собираетесь изучать Python и выбираете подходящую литературу, то обязательно ознакомьтесь с данным материалом:
• Лучшие книги по Python в 2023 году;
• Python: программирование для начинающих (Майк МакГрат);
• Изучаем программирование на Python (Пол Бэрри);
• Программируем на Python (Майкл Доусон);
• Основы программирования на языке Python (Д. Златопольский);
• Легкий способ выучить Python 3 (Зед
• Изучаем Python (Марк Лутц);
• Начинаем программировать на Python (Тони Гэддис);
• Программирование на Python 3 (Марк Саммерфилд);
• Простой Python (Билл Любанович);
• Изучаем Python (Эрик Мэтиз);
• Укус Питона (Byte of Python);
• Python. Экспресс-курс (Наоми Седер);
• Основы Python (Аллен Дауни);
• Python на примерах (Васильев А. Н.);
• Python для чайников (Джон Пол Мюллер);
• Сам Себе Программист (Кори Альтхофф);
• Чистый Python (Дэн Бейдер);
• Непрактичный Python (Ли Воган);
• Python, например (Никола Лейси);
• Python 3. Самое необходимое (Дронов, Прохоренок);
• Учимся программировать с примерами на Python (Эрик Фримен);
• Начинаем программировать на Python, 5-е издание (Тони Гэддис);
• Простой Python - просто с нуля (Рик Гаско);
• Автоматизация рутинных задач на Python (Эл Свейгарт);
• Python Исчерпывающее руководство (Дэвид Бизли);
• Знакомство с Python (Дэн Бейдер);
• Python без проблем (Даниэль Зингаро);
• Язык программирования Python - Практикум (Р. А. Жуков);
• Python. Быстрый старт (Джейми Чан);
• Python. Полное руководство (Кольцов Д. М.);
• Python - это просто (Нилаб Нисчал);
• Программирование на Python в примерах и задачах (Васильев А. Н.);
• Учим Python, делая крутые игры (Эл Свейгарт);
• Python. Создаем программы и игры (Кольцов Д. М.);
• Лучшие книги по Python для начинающих.
#python
11:00 19-02-2026
Zip-файлы: история, объяснение и реализация.
• Формат Zip был создан более 30 лет назад на основе технологий пятидесятых и семидесятых годов. И хотя с тех пор многое изменилось, Zip-файлы, по сути, остались теми же и сегодня более распространены, чем когда-либо. Думаю, будет полезно хорошо разбираться в том, как они работают.
• В статье очень подробно объясняется, как работают Zip-файлы и схема сжатия: LZ77-сжатие, алгоритм Хаффмана, алгоритм Deflate и прочее.
• История;
- PKZip;
- Info-ZIP and zlib;
- WinZip;
• Сжатие Lempel-Ziv (LZ77);
• Код Хаффмана;
- Алгоритм Хаффмана;
- Канонические коды Хаффмана;
- Эффективное декодирование Хаффмана;
• Deflate;
- Битовые потоки;
- Распаковка (Inflation);
- Несжатые Deflate-блоки;
- Deflate-блоки с применением фиксированных кодов Хаффмана;
- Deflate-блоки с применением динамических кодов Хаффмана;
- Сжатие (Deflation);
• Формат Zip-файлов;
- Обзор;
- Структуры данных;
- Конец записи центрального каталога;
- Центральный заголовок файла;
- Локальный заголовок файла;
- Реализация Zip-считывания;
- Реализация Zip-записи;
• HWZip;
- Инструкции по сборки;
• Заключение;
• Упражнения;
• Полезные материалы.
https://habr.com/ru/
#Разное
11:00 18-02-2026
The Art Of Linux Persistence.
• Account Creation in Linux;
• User Account Creation;
• Root/Superuser Account Creation;
• Persistance using SSH Authorized Keys;
• Persistence using Scheduled task;
• Cron Jobs;
• Systemd Timers;
• Shell Configuration Modification;
• Dynamic Linker Hijacking;
• What is LD_PRELOAD;
• Creating malicious Shared object Library for Persistence;
• SUID binary;
- Using SUID for Persistence;
- Example Scenario;
• rc.common/rc.local;
- Using rc.local for Persistence;
- Example: Starting a Service;
• Systemd Services;
- Creating a Custom systemd Service;
- Security Considerations;
- Advantages of Using systemd Services;
• Trap;
- Using trap in Scripts;
• Backdooring user startup file;
• Using System Call;
- system Call Monitoring and Blocking;
- Method 1: Emulate/Implement System Call in User-Space;
- Method 2: Use Alternate System Calls;
- Method 3: Fudging Around Parameters;
• MOTD Backdooring;
• APT Backdooring;
• Git Backdooring;
• Config;
• Backdooring OpenVPN;
• Security Researchers.
https://hadess.io/
#Linux
11:00 17-02-2026
Linux Boot Process Explained.
• Наглядная демонстрация процесса загрузки Linux.
• Стоит отметить, что загрузка ОС, это многоступенчатый процесс. В различных дистрибутивах Linux процесс загрузки может несколько изменяться, но общая схема примерно одинакова и состоит из следующих стадий:
1. В момент запуска процессор передаёт управление по определённому физическому адресу в ПЗУ. В этот момент начинается выполнение кода BIOS/UEFI.
2. BIOS/UEFI определяет подключенные к системе устройства.
3. Выбор устройства (USB, Жесткий диск и т.д.) для загрузки и запуска ОС.
4. Начальный загрузчик считывает в память основной загрузчик (GRUB, LiLo, NTLDR) и передаёт управление ему.
5. После того, как выбранное ядро загружено в память и начинает исполняться, в первую очередь, оно должно извлечь самого себя из сжатой версии файла, перед тем как начать выполнять полезную работу. Как только извлечение произошло, оно загружает systemd и передает ему контроль.
6. systemd монтирует файловые системы, как определено в /etc/fstab, включая любые swap-файлы и разделы. К этому моменту, он может получить доступ к файлам конфигурации, расположенным в /etc, включая его собственным. Он использует собственный конфигурационный файл /etc/systemd/system/default.target, чтобы определить таргет (target), по которому нужно загрузить хост.
7. Запуск определенного набора стартовых скриптов и настройка рабочей среды.
8. Вход в систему. Система готова к работе.
• Более подробное описание процесса загрузки можно найти тут и тут.
#Linux
11:00 16-02-2026
#Юмор
11:00 15-02-2026
Компьютерные сети.
• Основные сетевые термины и сетевые модели;
• Протоколы верхнего уровня;
• Протоколы нижних уровней (транспортного, сетевого и канального);
• Сетевые устройства и виды применяемых кабелей;
• Понятие IP адресации, масок подсетей и их расчет;
• Понятие VLAN, Trunk и протоколы VTP и DTP;
• Протокол связующего дерева: STP;
• Протокол агрегирования каналов: Etherchannel;
• Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP.
#Сети
19:05 14-02-2026
Linux commands from A-Z.
• Небольшой cheatsheet по основным командам Linux. А если Вам этого недостаточно, то вот тут перечислены более 1000 (на данный момент) команд и их подробное описание на русском языке.
• Автор этой статьи описывает процесс установки Raspberry Pi Zero в док-станцию для получения полного доступа к устройствам, которые к ней подключаются.
• Дело в том, что Raspberry Pi находится под управлением P4wn P1 A.L.O.A, делая "малину" по-настоящему хакерским устройством, позволяющим установить бэкдор на подключенном ПК, выполнить определенный скрипт, скачать данные и т.д:
https://research.aurainfosec.io/
#ИБ #Разное
11:00 09-02-2026
Шпаргалка по архитектуре Kubernetes.
#Kubernetes #DevOps
11:00 07-02-2026
Самоучитель по Python для начинающих.
• Особенности, сферы применения, установка, онлайн IDE;
• Все, что нужно для изучения Python с нуля;
• Типы данных: преобразование и базовые операции;
• Методы работы со строками;
• Методы работы со списками и списковыми включениями;
• Методы работы со словарями и генераторами словарей;
• Методы работы с кортежами;
• Методы работы со множествами;
• Особенности цикла for;
• Условный цикл while;
• Функции с позиционными и именованными аргументами;
• Анонимные функции;
• Рекурсивные функции;
• Функции высшего порядка, замыкания и декораторы;
• Методы работы с файлами и файловой системой;
• Регулярные выражения;
• Основы скрапинга и парсинга;
• Основы ООП: инкапсуляция и наследование;
• Основы ООП – абстракция и полиморфизм;
• Графический интерфейс на Tkinter;
• Основы разработки игр на Pygame;
• Основы работы с SQLite;
• Основы веб-разработки на Flask;
• Основы работы с NumPy;
• Основы анализа данных с Pandas.
#Python
11:00 06-02-2026
Popular Network Protocol.
• Наглядная демонстрация работы основных сетевых протоколов.
#Сети
11:00 05-02-2026
Возникновение всемирной паутины.
• Взаимосвязанная сеть сетей. Или, может быть, интернет. В конце 60-х — начале 70-х именно с этой целью Министерство обороны США финансировало исследования и разработки первых компьютеров. Учёные должны были создать сеть компьютеров с общим доступом к ресурсам для исследователей, которые работали на Управление перспективных исследовательских проектов министерства обороны США (агентство DARPA). Потом решили, что такая система может использоваться для оперативного управления вооружёнными силами во времена холодной войны и поможет продвигать интересы США во всём мире.
• В ту эпоху компьютер был размером с дом. За двадцать лет, с 1950-го по 1970-й, министерство обороны США потратило миллионы долларов на развитие технологий. Самый известный и, возможно, печально известный пример — это полуавтоматические наземные комплексы (SAGE). Предполагалось, что эта сеть компьютеров и радиолокационных систем, расположенных по всей Северной Америке, будет обнаруживать советские бомбардировщики, подлетающие со стороны Арктики. Компьютер, предназначенный для этой задачи, назывался AN-FSQ7. Он был разработан учёными из разных университетов, в том числе из Массачусетского технологического института, и собран в IBM. В фильме 1983 года «Военные игры» именно этот комплекс ПВО SAGE спрашивает Мэтью Бродерика: «Хочешь сыграть?».
• На базе этого комплекса исследователи из разных американских университетов и начали формировать быстро растущую экосистему компьютеров. Далеко не все из них стремились угодить Министерству обороны. Скорее, их завораживали исключительные возможности объединённых в сеть компьютеров. Одним из этих ученых был Винт Серф. Окончив факультет математики Стэнфордского университета, он поступил на работу в IBM. Потом продолжил образование в Калифорнийском университете в Лос-Анджелесе. В Агентстве по перспективным оборонным научно-исследовательским разработкам США (ARPA) Винт Серф работал над созданием компьютеров. В 1972 году он вернулся в Стэнфордский университет, где преподавал информатику и проектирование электрических систем. Там он вместе с другими учёными занимался проектом по межсетевому взаимодействию компьютерных сетей.
• Вот так и возник интернет.
• В Калифорнийском университете в Лос-Анджелесе доктор Серф познакомился с Робертом Каном, который на тот момент работал в агентстве ARPA. В 1972 году коллеги совместно разработали протокол TCP, упрощающий взаимодействие сетей с коммутацией пакетов. TCP стал основным протоколом нового интернет-протокола. Со временем он превратился в TCP/IP (интернет-протокол), и именно благодаря ему стала возможна Всемирная паутина.
• Вот уже более пятидесяти лет доктор Серф остаётся подвижником ИТ-технологий и интернета. Серф и Кан получили многочисленные награды за свою работу: в 1997 году — Национальную медаль США в области технологий, в 2005 году — Президентскую медаль свободы и премию Тьюринга, в 2008 году — премию Японии, в 2013 году — премию королевы Елизаветы II в области инженерного дела. В 2005 доктор Серф пришёл в Google, где и работает до сих пор в должности Chief Internet Evangelist.
#Разное
11:00 03-02-2026
Mastering the Art of Bypassing Windows UAC.
• Вы наверняка знаете, что UAC (User Account Control) – механизм, поддерживаемый всеми последними версиями Windows, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО.
• В этой статье мы рассмотрим механику работы UAC и разберемся с некоторыми рабочими методами по обходу UAC:
https://hadess.io/
#ИБ
11:00 02-02-2026
Фильтры Wireshark.
• У Wireshark просто огромное количество разнообразных фильтров. И по этим фильтрам есть объемная документация, в которой не так просто разобраться. В этой подборке собраны самые интересные и часто используемые фильтры Wireshark. Для начинающих пользователей это может стать чем-то вроде справочника по фильтрам #Wireshark, отправной точкой для изучения.
• Давайте рассмотрим эпизод (который был актуален еще в 1994 году) из карьеры знаменитого хакера Кевина Митника и узнаем, что такое SYN Flood DoS.
• Дело в том, что Кевин Митник пытался получить несанкционированный доступ к машине своего давнего оппонента Цутому Шимомуры. Для этого он хакнул ПК в лабораторной сети и постарался представиться логин-сервером, с которого был доверенный логин на искомый терминал.
• Проблема в том, что если спуфить подключение, представляясь чужой машиной, нужно как-то вывести настоящую машину из обращения, чтобы она не смогла ничего сказать. Для этого Митник использовал генерацию большого количества SYN-пакетов со взломанной машины, отправил их с указанием чужого валидного, но не используемого спуфленного IP-адреса из этой локалки.
• Server.login честно принял все пакеты в очередь полуоткрытых соединений, забил очередь до потолка и отослал все SYN-ACK несуществующей машине. Так что, когда Митник успешно спуфил соединение, представляясь логин-сервером, тот не мог ничего сказать терминалу, который слал SYN-ACK пакет, так как логин-сервер был уже плотно занят. В итоге Митник установил TCP-соединение, получил shell, посадил туда бэкдор, закрыл соединение и отправил reset на логин-сервер. Вся атака, если верить логам, длилась 16 секунд.
• Атака Митника — это правильный пример SYN Flood — одного из самых старых, по крайней мере, описанных в летописной истории, вариантов DoS-атаки. Тогда это была ещё не распределённая атака, а Denial of Service с одной машины. Но после этого появился подробный разбор этой ситуации с логами и прочим в mailing-листах: сначала вышла книжка Шимомуры, потом — Митника. Таким образом, люди, которые интересуются интернетом и технологиями, узнали, что так, оказывается, было можно.
#Разное
11:00 31-01-2026
Руткиты Linux.
• Изучение руткитов Linux - отличная возможность узнать о том, как работает ядро. Делюсь небольшой подборкой материала, которая поможет разобраться в данной теме. Материал будет очень полезен реверс-инженерам:
- Part 1 - Introduction and Worflow;
- Part 2 - Ftrace and Function Hooking;
- Part 3 - A Backdoor to Root;
- Part 4 - Backdooring PRNGs by Interfering with Char Dev;
- Part 5 - Hiding Kernel Modules from Userspace;
- Part 6 - Hiding Directories;
- Part 7 - Hiding Processes;
- Part 8 - Hiding Open Ports;
- Part 9 - Hiding Logged In Users.
#RE #Linux
10:00 30-01-2026
Полный список скриптов Nmap NSE.
• NSE (Nmap Scripting Engine) — компонент Nmap, обладающий мощными возможностями, что позволяет пользователям писать скрипты для автоматизации широкого круга сетевых задач: более гибкого взаимодействия с имеющимися возможностями Nmap, обнаружения и эксплуатации уязвимостей и прочего.
Делюсь ссылкой, где Вы найдете все доступные сценарии NSE, собранные в единую таблицу:
https://www.infosecmatter.com/
• На данный момент существует 14 категорий скриптов NSE. Список категорий:
• Многим кажется, что существует пробел в нумерации между IPv4 и IPv6. Куда подевался IPv5? Дело в том, что протокол IPv5 существует, хотя известен под иным названием – Internet Stream Protocol (ST). Впервые его представили в 1979 году в формате технической заметки IEN 119. В отличие от IPv6, он должен был не заменить IPv4, но расширить его возможности по работе с потоковым аудио. Можно сказать, что спецификация ST положила начало таким концепциям, как пакетная передача речи и речевой поток (talkspurt).
• Согласно документации Internet Stream Protocol, клиенты должны сформировать требования к пропускной способности и задержкам до передачи данных. На эту информацию опираются так называемые ST-агенты – хост-процессы и шлюзы. Они определяют необходимое количество ресурсов для межсетевого взаимодействия.
• Сообщения, пересылаемые между ST-агентами, представляют собой «конверты» с пакетами. Каждый из них содержит заголовок конверта (envelope header), за которым следуют один или несколько пакетных заголовков (packet headers). Уже после них записаны кусочки данных в аналогичном порядке. В общем случае структуру конверта можно представить следующим образом:
EH, PH1, PH2, . . .PHn, DATA1, DATA2, . . . DATAn
• Что интересно, в 1990 году была опубликована вторая версия Internet Stream Protocol – ST-II или ST2. В документацию RFC 1190 включили новые механизмы, повышающие надежность соединения на случай, если сеть или отдельный агент выходят из строя. Финальную версию ST2, также известную как ST2+, рабочая группа IETF опубликовала в 1995 году (RFC 1819).
• Официально название IPv5 так и не получило распространения. Хотя поле Version в структуре IP-пакета протокола ST содержало номер пятой версии. В то же время от Internet Stream Protocol решили отказаться в пользу стриминговых протоколов на базе UDP.
• Однако IPv5 все же заложил основу для современной технологии VoIP. Еще тридцать лет назад протокол реализовали в рамках экспериментальной сети Terrestrial Wideband Network, которую DARPA использовали для симуляций и видеоконференций. Позже на протоколе построили систему цифровой связи Iris, которой пользовались канадские военные.
• Многие концепции, заложенные в Internet Stream Protocol, сегодня применяют для асинхронной передачи данных (ATM) и используют в Multiprotocol Label Switching (MPLS).
#Разное
10:00 28-01-2026
All in One. Hacking tools.
• Hackingtool — это комплексный хакерский инструмент, который включает в себя все основные тулзы пентестеров и хакеров.
• Репозиторий имеет 29.6K звёзд и постоянно обновляется. Включает в себя инструменты из следующих категорий:
Подробное руководство по созданию домашней виртуальной лабы для этичного хакинга.
• Подробно расписывать материал не буду, так как из названия и так понятно, о чем пойдет речь в статье. Единственное, на что хочется обратить внимание, так это то, что практический опыт просто необходим для развития и совершенствования своих навыков. Теория однозначно необходима, но практика играет ключевую роль в изучении различных аспектов ИБ:
https://www.stationx.net/
#ИБ #AD
11:00 26-01-2026
Первая в истории онлайн-покупка.
• Давайте отвлечемся от тематики канала. Сейчас расскажу, как можно было заказать доставку домой в 1984 году.
• Маргарин, кукурузные хлопья и яйца — такой заказ сделала 72-летняя Джейн Сноуболл. Почему это важно? Потому что покупка Джейн Сноуболл считается первой онлайн-покупкой в истории.
• Дело в том, что в городе, где проживала старушка, проходил эксперимент для помощи пенсионерам с проблемами передвижения. Совет города обратился к изобретателю Майклу Олдричу, и тот изобрел информационную систему для онлайн-продаж, правда, использовал её только для транзакций между компаниями. Олдрич согласился поучаствовать в эксперименте, и Джейн предоставили телевизор, с которого она сделала первый в истории заказ.
• Майкл Олдрич встроил в телевизор модем и дополнительные микросхемы и так превратил его в компьютерный терминал. Подобную технологию использовали в то время службы телетекста. По внутренней телефонной линии телевизор передавал заказы от покупателей к продавцам. Товары выбирались прямо на экране с помощью обычного пульта. Система получила название Videotex.
• В эксперименте согласились поучаствовать три ретейлера: Tesco, Greggs и Lloyds Pharmacy.
• В мае 1984 года Джейн нажала на пульте кнопку со значком телефона. На экране в формате стандартной страницы телетекста появился список магазинов. Из тысячи товаров Tesco Джейн выбрала маргарин, кукурузные хлопья и яйца.
• На то, чтобы научиться пользоваться доставкой, у 72-летней женщины ушло 15 минут, а потом она продолжила смотреть сериал. Когда заказ привезли, пенсионерка расплатилась наличными.
• Впоследствии Майкл Олдрич вспоминал, что Джейн понравилось заказывать продукты из дома, но она скучала по общению — поход в магазин был важной частью социальной жизни...
#Разное
12:00 25-01-2026
Роль MS-DOS в составе Windows 95.
• MS-DOS в составе Windows 95 использовалась для двух целей:
- Она служила загрузчиком.
- Она выступала в качестве слоя совместимости с 16-битными драйверами.
• Когда Windows 95 стартовала, сначала загружалась специальная версия MS-DOS, именно она обрабатывала ваш файл CONFIG.SYS, запускала COMMAND.COM, который выполнял ваш AUTOEXEC.BAT и в конце концов выполнял WIN.COM, который в свою очередь начинал процесс загрузки 32-битного менеджера виртуальных машин VMM.
• Программа WIN.COM начинала загрузку того, что большинство людей называют собственно «Windows». Посредством копии MS-DOS она загружала менеджер виртуальных машин, считывала файл SYSTEM.INI, загружала драйверы виртуальных устройств, затем выключала EMM386 (если таковой был) и переключалась в защищённый режим. «Настоящая Windows» с точки зрения большинства людей — именно защищённый режим.
• В защищённом режиме драйверы виртуальных устройств творили свою магию. В числе их действий было вытаскивание всего состояния MS-DOS, перевод его в состояние 32-битной файловой подсистемы и отключение MS-DOS. Все дальнейшие файловые операции направлялись в 32-битную файловую подсистему. Когда программа обращалась к int 21h, ответственной за обработку оказывалась 32-битная файловая подсистема.
• Здесь вступает в игру вторая роль MS-DOS. Видите ли, программы и драйверы MS-DOS любили встраиваться в глубины операционной системы. Они могли заменять обработчик прерывания 21h, они могли патчить код системы, они могли заменять низкоуровневые дисковые обработчики int 25h и int 26h. Они могли также творить умопомрачительные вещи с прерываниями BIOS типа int 13h, ответственного за работу с дисками.
• Когда программа обращалась к int 21h, сначала запрос направлялся в 32-битную файловую подсистему, где проходил некоторую предобработку. Затем, если файловая подсистема обнаруживала, что кто-то перехватил вектор int 21h, она переходила назад в 16-битный код, чтобы позволить перехватчику выполниться. Замена вектора int 21h идеологически похожа на сабклассинг окна. Вы получаете старый вектор и устанавливаете новый вектор. Когда установленный вами обработчик вызывается, вы что-то делаете, а затем вызываете старый обработчик. После возврата из старого обработчика вы можете ещё что-нибудь сделать, прежде чем вернуть управление.
• Одним из 16-битных драйверов, загружавшихся из CONFIG.SYS, был IFSMGR.SYS. Его задачей было перехватить MS-DOS первым, прежде чем все остальные драйверы и программы получат свой шанс! Этот драйвер был в сговоре с 32-битной файловой подсистемой, возвращаясь из 16-битного кода назад в 32-битный, чтобы файловая подсистема могла продолжить свою работу.
• Другими словами, MS-DOS была всего лишь исключительно искусной подсадной уткой. 16-битные драйверы и программы патчили и перехватывали обработчики, которые для них выглядели совсем как настоящая MS-DOS, но в действительности были приманкой. Если 32-битная файловая подсистема видела, что кто-то купился на приманку, она заставляла подсадную утку крякать.
#Разное
14:33 24-01-2026
Play with Docker — онлайн-сервис для практического знакомства с Docker.
• Интересный и уникальный ресурс для изучения Docker, который был создан еще в далеком 2017 году. Идея заключается в том, что после авторизации нас пересылает на один из облачных хостов, где стартует 4-часовая сессия «игровой площадки». В ней вы можете создавать новые сущности (instances), т.е. узлы тестового Docker-кластера. Каждый из них — это инсталляция легковесного дистрибутива Alpine Linux с редактируемым локальным IP-адресом. В них установлен Docker актуальной версии:
https://labs.play-with-docker.com
• А чтобы начинающим пользователям Docker было проще и лучше понять, чем же вообще можно (и полезно) заниматься в игровой площадке Docker, авторы Play with Docker дополнили свой сервис удобным ресурсом по обучению:
• https://training.play-with-docker.com
• Дополнительная информация есть на GitHub: https://github.com/play-with-docker/play-with-docker
#Docker
11:30 23-01-2026
История команд «Вырезать/Копировать/Вставить» и Ctrl+Alt+Del.
История «Вырезать/Копировать/Вставить»:
• Еще до рождения компьютеров термин «вырезать и вставить» широко использовался при редактировании рукописей, когда люди могли буквально вырезать что-то с листа и вставить это на другую страницу. Так было до 1974 года, когда выражение «вырезать и вставить» стало использоваться относительно редактирования текстов на компьютере, и сделал это Ларри Теслер из Xerox.
• В 1981 году Apple популяризовало «вырезать и вставить» с выпуском Lisa, компьютера с графическим интерфейсом. Это Apple стандартизировала сочетания клавиш, в то время это были + X для вырезания, C для копирования, V для вставки. Позднее Microsoft адаптировала эти сочетания для Windows, использовав практически идентичные сочетания клавиш.
История Ctrl+Alt+Del:
• Ctrl+Alt+Del известное сочетание клавиш для закрытия повисших приложений, перезагрузки, и в некоторых случаях — для входа в систему.
• Кто же ввел сочетание клавиш, которое стало жизненным путём для стольких людей? Дэвид Брэдли, дизайнер первого IBM PC. Ему надоела необходимость при каждом зависании компьютера выключать питание, ждать несколько секунд, а затем включать питание и заново проходить весь процесс загрузки. Сперва Брэдли разработал сочетание Ctrl+Alt+Esc для горячей перезагрузки, но он обнаружил, что данное сочетание может быть случайно нажато всего одной рукой. Заменив клавишу Escape на Delete, он добился того, что именно две руки необходимы для перезагрузки.
• В одном из интервью Брэдли в шутку заметил: «Может я и придумал сочетание Ctrl+Alt+Del, но сделал его популярным Билл Гейтс».
• Несколько полезных ссылок:
- То самое интервью с Дэвидом Брэдли;
- Статья на Wikipedia, посвященная Ctrl+Alt+Del;
- Статья на Wikipedia, посвященная командам «Вырезать/Копировать/Вставить».
#Разное
11:01 22-01-2026
Attacking PHP.
• ZZZPHP ISSESSION adminid Authentication Bypass;
• ZZZPHP parserIfLabel eval PHP Code Injection;
• The Ev1l eva1 Deny list;
• Shopware PHP Object Instantiation;
• XML Parsing;
• Crafting the SimpleXMLElement Object for Object Injection;
• Pivot Primitives;
• Generating a Malicious Phar;
• Technique for POP chain development;
• Type Juggling;
• Time of Check Time of Use (TOCTOU);
• Race Condition;
• Laravel Framework vs laravel.log.
https://blog.devsecopsguides.com/
#Php #devsecops
11:31 21-01-2026
Oh My Git.
• Поделюсь с Вами достаточно увлекательной и, самое главное, полезной open source игрой для изучения GIT. Тут Вам и отдельный режим для новичков (в виде карточек) и для продвинутых пользователей (в терминале), можете даже создавать свои собственные уровни. В общем и целом, игра действительно полезная: Вы подключаете реальный репозиторий, изучаете и выполняете команды, наблюдаете результат в режиме реального времени.
https://ohmygit.org
#Git
11:30 20-01-2026
puter.
• Нашел интересный проект на GitHub для запуска ОС прямо в браузере и был приятно удивлен тому, какой функционал в ней реализован. Тут Вам и офисные инструменты, игры, открытый исходный код и бесплатное использование:
Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.
Работа с объектами:
- Просмотр структуры объектов;
- Выбор частей объектов;
- Удаление объектов из конвейера;
- Сортировка объектов;
- Создание объектов .NET и COM;
- Использование статических классов и методов;
- Получение объектов WMI с помощью Get-CimInstance;
- Прямое управление элементами.
Управление компьютерами:
- Изменение состояния компьютера;
- Сбор информации о компьютерах;
- Создание запросов Get-WinEvent с помощью FilterHashtable.
Управление процессами и службами:
- Управление процессами при помощи командлетов Process;
- Управление сервисами;
- Работа с принтерами;
- Выполнение задач по работе с сетями;
- Работа с программами установки программного обеспечения;
- Декодирование команды PowerShell из выполняемого процесса;
Работа с выходными данными:
- Перенаправление выходных данных;
- Использование команд Format для изменения представления вывода.
Управление дисками и файлами:
- Управление текущим расположением;
- Управление дисками PowerShell;
- Работа с файлами и папками;
- Работа с файлами, папками и разделами реестра;
- Работа с записями реестра;
- Работа с разделами реестра.
Создание элементов пользовательского интерфейса:
- Создание настраиваемого поля ввода;
- Создание графического элемента управления "Выбор даты";
- Списки с множественным выбором;
- Выбор элементов из списка.
#PowerShell
13:00 18-01-2026
Pwning the Domain: Persistence.
- Group Policy;
- Tickets;
- Silver Ticket;
- Golden Ticket;
- Diamond Ticket;
- Sapphire Ticket;
- Golden Certificate;
- AdminSDHolder;
- GoldenGMSA;
- SID History;
- DC Shadow;
- How does it work;
- How to create skeleton key;
- What is DSRM;
- How does it work;
- How to create Persistence using DSRM;
- Patching the Registry;
- Pass the DSRM Hash;
- How does it work;
- Registry patching using mimilib.dll;
- Lsass Memory Patching using memssp.
https://hadess.io/pwning-the-domain-persistence/
#Пентест
12:30 17-01-2026
OpenContacts.
• Речь пойдет о приложении на #Android, которое представляет собой изолированный справочник контактов. Данное решение будет интересно тем, кто обеспокоен вопросами приватности и анонимности, безопасности своих контактов и не хочет светить данную информацию сторонним приложениям.
• Суть заключается в том, что если мы запишем контактны в этой тулзе, то ни одно приложение на смартфоне не получит к ним доступ (пока сами не разрешите). Это приложение сохраняет контакты в собственной базе данных отдельно от контактов Android. К слову, приложение имеет открытый исходный код и поддерживается разработчиками.
• Скачать можно отсюда: https://f-droid.org/
#Android #Приватность
10:00 16-01-2026
K8s LAN Party.
• K8s LAN Party — это набор из пяти CTF-сценариев, в которых пользователю нужно найти уязвимости в кластере #Kubernetes. Каждый сценарий посвящен проблемам сети Kubernetes, с которыми сталкивались разработчики данного ресурса в реальной практике.
• Инструмент поможет участникам углубить свои знания в области безопасности кластера Kubernetes: у них будет возможность встать на место злоумышленников и изучить ошибки в конфигурациях, что пригодится в работе.
• В K8s LAN Party кластер уже развернут. Игроку нужно лишь выполнять команды в терминале прямо в браузере: https://www.k8slanparty.com
#CTF
10:30 15-01-2026
Уязвимости аутентификации | Безопасность web приложений.
• В этом ролике подробно описаны механизмы аутентификации, чем опасны их уязвимости и как можно их защитить. Также автор рассказывает, как работают механизмы аутентификации и разбирает на примерах прохождение лаб на платформе — https://portswigger.net/web-security
• 0:00 — уязвимости аутентификации;
• 0:22 — аутентификация это / типы аутентификации;
• 1:30 — как возникают уязвимости / последствия уязвимостей;
• 2:16 — как используются уязвимости на практике / Лаба 1;
• 6:18 — как используются уязвимости на практике / Лаба 2;
• 8:45 — как защитить механизмы аутентификации;
• 10:32 — где проходить лаборатории.
https://youtu.be/lWYJ1vD9OEM
#web
11:35 14-01-2026
Attacking NodeJS Application.
- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.
#devsecops
11:00 13-01-2026
HackTheBox. Взламываем Linux-машину средней сложности SURVEILLANCE.
• В этом видео автор проходит Linux-машину средней сложности под названием SURVEILLANCE на платформе HackTheBox.
• Для начала используем уязвимость удаленного выполнения кода в CraftCMS для закрепления на машине под учетной записью www-data. Затем идентифицируем и получим доступ к базе данных MySQL, где нахожу хэши паролей. После неудачной попытки взлома bcrypt-хеша из базы данных CraftCMS, мы сможем найти файл бэкапа базы данных. В нем обнаружим старую версию хеша SHA512, который успешно взломаем за считанные секунды, получая доступ к пользовательской учетной записи.
• Используя полученный пароль, мы подключимся к серверу по #SSH. Обнаружив открытый локальный порт 8080, определим, что это порт системы видеонаблюдения ZoneMinder. Создадим port forwarding на нашу локальную машину для удаленного доступа. Затем эксплуатируем другую уязвимость удаленного выполнения кода в ZoneMinder и получим доступ под другим пользователем, обладающим привилегиями sudo для запуска Perl-скриптов. Используем один из этих скриптов для инъекции произвольной команды, что позволяет нам повысить свои привилегии до уровня root.
https://youtu.be/Lpso0AwJV5Y
#Пентест #CTF
10:03 12-01-2026
Code Red.
• Утро 15 июля 2001 года. Аналитики компании eEye Digital Security как раз допивали очередную порцию газировки Code Red Mountain Dew, когда в лабораторию стали поступать предупреждения о массовом распространении нового компьютерного червя. Отсюда и пошло: парни назвали вредонос в честь своего любимого напитка – “Code Red”. Так эта угроза получила свое имя, которое многим жертвам червя запомнилось надолго — буквально за несколько дней Code Red захватил Интернет.
• Как выяснилось позже, распространение червя началось еще 13 июля 2001 года. Малварь использовала уязвимость веб-сервера Internet Informatiom Server, заключающуюся в классическом переполнении буфера. Несмотря на то, что за месяц до описываемых событий корпорация Microsoft выпустила заплатку для этой уязвимости, далеко не все администраторы вовремя установили обновление. Указанное обстоятельство и послужило основной причиной полномасштабной эпидемии.
• Интернет-червь использовал тривиальнейшую уязвимость в одном из модулей веб-сервера, а точнее, расширении для индексации данных. В библиотеке idq.dll была обнаружена ошибка переполнения буфера. Уязвимость получила идентификатор MS01-33. По современным меркам это простейшая ошибка, которую можно проэксплуатировать, отправив на сервер чрезмерно длинный запрос такого вида:
• В результате данные после многочисленных символов N интерпретируются как инструкции и выполняются. Вся вредоносная нагрузка содержится непосредственно в запросе, то есть при наличии уязвимой инсталляции Microsoft IIS система заражается моментально и со стопроцентной гарантией.
• Следующие действия червя зависели от текущего числа. С 1 по 19 число каждого месяца вредонос занимался исключительно самораспространением: он опрашивал доступные в Интернете серверы, отправлял на них соответствующий запрос. Для этого на зараженном хосте создавалось 99 параллельных потоков, в каждом из них формировался список новых компьютеров-жертв, которым отправлялись HTTP-запросы.
• С 20 по 27 число Code Red выполнял DDoS-атаки по списку намертво зашитых в нем IP-адресов, среди которых присутствовал адрес сайта Белого Дома.
• Хотя массовое распространение червя было зафиксировано 15 июля 2001 года, своего пика оно достигло через 4 дня — 19 июля было заражено более 359 тыс. серверов. Позже, когда администраторы все-таки начали устанавливать на свои серверы рекомендованные Microsoft обновления безопасности, эпидемия понемногу пошла на убыль, хотя чуть позже появилась вторая версия Core Red, имевшая другую полезную нагрузку и использовавшая в GET-запросе символы X вместо N
• Из всей этой истории можно сделать два важных вывода. Первый — что своевременная установка патчей, которая была так важна 21 год назад, не потеряла своей актуальности и сейчас. Второй — то, что Code Red не шифровал файлы на дисках, не воровал пароли и не уничтожал данные, можно назвать чистым везением. Именно благодаря относительной «безобидности» червя эпидемия обошлась без серьезных последствий. А ведь они могли бы быть намного более печальными, если бы злоумышленники преследовали иные цели.
• Мало кто знает, что S.E. не является моим единственным проектом. На самом деле есть и другие полезные ресурсы, которые содержат очень много уникальных мануалов, литературы, курсов и другого материала:
• infosec — сюда публикую интересные новости, уникальную литературу, курсы и немного юмора. Ламповое сообщество, которое обязательно вам понравится.
• Virus Detect bot — этот бот был реализован исключительно для нашего сообщества. Он полностью бесплатный, без рекламы, без спама и не требует каких-либо обязательных подписок. Он реализован на API Virus Total, что дает каждому из Вас возможность проверять файлы более чем 70 антивирусами одновременно. Бот работает только в Telegram. Когда Max реализует нормальное апи, то он появится и тут.
• Вакансии в ИБ — здесь публикуются актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.
• S.E.Reborn — помимо публикации собственного материала, я стараюсь поддерживать ИБ сообщество в Telegram и репостить качественный контент с других каналов. В общем и целом, тут Вы найдете много всего интересного.
• S.E.infosecurity — всё, что не входит в infosec, публикуется именно здесь. История ИТ, конкурсы с книгами по информационной безопасности и многое другое.
• S.E.Relax — когда всё надоело, то можно запустить приятную музычку и получить визуальное наслаждение от крутых артов. Это Relax проект, а значит никакой рекламы и спама. Сообщество предназначено только для TG.
😎 S.E.
10:00 30-12-2025
A collection of Linux Sysadmin Test Questions and Answers.
• Этот проект содержит 284 вопроса и ответа, которые можно использовать для проверки собственных знаний или во время собеседования на должность администратора Linux (*nix). Очень удобно, что вопросы разбиты на категории (от простых, к сложным):
• https://github.com/trimstray/
• Немного не по теме, но в качестве дополнительного материала стоит ознакомиться с очень полезной статьей на хабре, в которой собраны некоторые вопросы, касающиеся сетей: https://habr.com/ru/articles/189268/
#Linux #Сети
11:00 29-12-2025
Подборка площадок для тренировки Blue Team.
• Небольшая подборка актуальных ресурсов, где можно получить практический опыт и получить необходимые знания для Blue Team специалистов. Переходим сразу к делу:
• codeby.games — специализируется на наступательной безопасности, платформа абсолютно бесплатна.
• Dfir-Dirva — сборник бесплатного и открытого материала, который включает в себя учебные лаборатории и полноценные задачи для подготовки blue team.
• Malware-Traffic-Analysis.net — ресурс, который позиционирует себя, как хранилище заданий и викторин по анализу трафика.
• Cybrary — платформа для обучения blue team на практике. По бесплатной подписке предоставляет полный доступ к виртуальным машинам с различными конфигурациями (сканеры уязвимостей, SIEM, TIP и другое), что даёт возможность практиковаться в реальных условиях без необходимости первичной настройки средств защиты информации.
• Letsdefend — учебная платформа с кучей учебного материала, курсов и доступных лабораторных. Весь контент отображается в соответствии с матрицей MITRE ATT&CR.
• CyberDefenders — платформа для комплексного обучения Blue Team. На бесплатной основе доступно выполнение различного рода задачек по расследованию инцидентов (даются архивы с логами) и сетевой криминалистике (дампы трафика в pcap). Есть задания на разбор инцидентов в Windows, Linux и Android.
• TryHackMe — не нуждается в представлении. Стоит обратить внимание на этот материал: SOC Level 1, SOC Level 2 и Security Engineer.
#Blue_Team
11:11 28-12-2025
Picosnitch. Monitor Network Traffic Per Executable, Beautifully Visualized.
• Полезный инструмент для мониторинга трафика в Linux: позволит Вам получить информацию о приложении, домене, хешу, исполняемому файлу. А графики выводит в отдельном веб-интерфейсе. Подробное описание тулзы доступно по ссылке ниже:
• https://github.com/elesiuta/picosnitch
#Сети
12:30 27-12-2025
Linux Inside.
• Поделюсь с Вами интересной книгой, которая позволяет познакомиться с внутренностями ядра Linux. Версия на английском (оригинальном) языке доступна здесь: https://0xax.gitbooks.io/linux-insides/content/
• Есть еще версия, которая переведена (не полностью) на русский язык: https://proninyaroslav.gitbooks.io/linux-insides-ru/content/
#Linux #Книга
10:04 26-12-2025
Attacking Kubernetes.
• Самое известное средство контейнеризации и автоматизации развертывания приложений — #Docker. Известное, но не единственное: достойную конкуренцию ему составляет Kubernetes. Разумеется, он тоже представляет определенный интерес для злоумышленников. Как защитить Kubernetes от взлома? Об этом — сегодняшняя статья:
- Restrict Kubernetes API access to specific IP ranges;
- Use Role-Based Access Control (RBAC);
- Enable PodSecurityPolicy (PSP);
- Use Network Policies;
- Enable Audit Logging;
- Use Secure Service Endpoints;
- Use Pod Security Context;
- Use Kubernetes Secrets;
- Enable Container Runtime Protection;
- Enable Admission Controllers;
- Hardcoded Credential;
- Container Escape Attack;
- Kubernetes API Server Attack;
- Pod-to-Pod Network Attack;
- Privilege Escalation Attack;
- Denial-of-Service (DoS) Attack;
- Kubernetes Threat Matrix.
https://blog.devsecopsguides.com
#Kubernetes
10:02 25-12-2025
Bash-Oneliner.
• Объемная подборка команд, от очевидных, до каких-то мелочей, упрощающих жизнь.
• Когда Apple представила миру Macintosh (22 января 1984), в то время существовала более известная компания Commodore International. Начинали эти ребята с ремонта и перепродажи печатных машинок, но со временем переквалифицировались. Славу Commodore принес прежде всего персональный компьютер Commodore 64, через три года после выпуска которого Commodore представили новый многообещающий ПК — Amiga.
• Его создавала команда из бывших сотрудников Atari, и на Amiga возлагались большие надежды. Он обеспечивал прекрасную для своих лет графику и звук, игры на Amiga выглядели гораздо лучше, чем на ПК конкурентов. По задумке производителя, впоследствии Amiga должен был пошатнуть позиции Apple как создателя компьютеров для творческих людей.
• У Amiga была своя операционная система — AmigaOS. В ней реализовали мультизадачность, довольно продвинутую по тем временам функцию, которая была далеко не у всех. В то время для старта второго приложения на ПК обычно требовалось закрыть первое. На AmigaOS в этом не было необходимости: первое приложение просто переходило в режим гибернации и ожидало возврата пользователя, чтобы продолжить работу с того же места.
• Также у Amiga был свой AmigaDOS (disk operating system), в котором уже имелся графический интерфейс и доступ к файловой системе, так что в некоторых случаях можно было даже не запускать AmigaOS.
• При этом некоторые важные функции в AmigaOS реализованы не были. В ней отсутствовала защита памяти: любой процесс мог взять и занять любой объем памяти, который ему вздумается. Это давало огромный простор для зловредного ПО, которое могло таким образом парализовать всю работу и повредить систему.
• Здесь напрашивается страшная история о том, что AmigaOS была уничтожена, когда столкнулась с достаточно расторопными злоумышленниками. Реальность оказалась прозаичней: Commodore начала отставать в гонке ПК, сделала ставку на неудачную консоль Amiga CD32 и к 1993 году столкнулась со спадом продаж, от которого просто не смогла оправиться. В 1994 компания приступила к процедуре банкротства.
• Более подробно о том, как появилась AmigaOS и что с ней стало, читайте в этой статье: https://xakep.ru/2015/06/24/amigaos-197/
#Разное
13:31 23-12-2025
System Design 101.
• В данной шпаргалке рассматриваются такие вещи, как протоколы коммуникации, DevOps, CI/CD, архитектурные паттерны, базы данных, кэширование, микросервисы (и монолиты), платежные системы, Git, облачные сервисы etc. Особую ценность представляют диаграммы — рекомендую уделить им пристальное внимание:
• Протоколы:
- REST и GraphQL;
- gRPC;
- Webhook;
- Производительность API;
- HTTP 1.0 -> HTTP 1.1 -> HTTP 2.0 -> HTTP 3.0 (QUIC);
- SOAP, REST, GraphQL и RPC;
- Сначала код и сначала API;
- Коды статусов HTTP;
- Шлюз API;
- Эффективное и безопасное API;
- Инкапсуляция TCP/IP;
- Почему NGINX называют "обратным" прокси?
- Алгоритмы балансировки нагрузки;
- URL, URI и URN.
• Архитектурные паттерны:
- MVC, MVP, MVVM, MVVM-C и VIPER;
- 18 основных архитектурных паттернов.
• База данных:
- 8 структур данных, улучшающих работу баз данных;
- Выполнение инструкции SQL в базе данных;
- Теорема CAP;
- Типы памяти и хранилищ данных;
- Визуализация запроса SQL;
- Язык SQL.
• Кэш:
- Кэширование данных;
- Причины высокой производительности Redis;
- Случаи использования Redis;
- Стратегии кэширования.
• Linux:
- Файловая система Linux;
- 18 основных команд Linux.
• Безопасность:
- Принцип работы HTTPS;
- OAuth 2.0 простыми словами;
- 4 наиболее распространенных механизмов аутентификации;
- Сессия, куки, JWT, SSO и OAuth;
- Безопасное хранение паролей в базе данных и их валидация;
- JWT (JSON Web Token) простыми словами;
- Принцип работы Google Authenticator и других типов двухфакторной аутентификации.
• Реальные системы:
- Технический стек Netflix;
- Архитектура Twitter по состоянию на 2022 год;
- Эволюция архитектуры Airbnb в течение последних 15 лет;
- Монорепозиторий и микрорепозитории.
https://habr.com/ru/articles/770564
#DevOps #SysOps
13:04 22-12-2025
Чёрный понедельник.
• Чёрный понедельник (англ. Black Monday) — понедельник 19 октября 1987 года — день, в который произошло самое большое падение Промышленного индекса Доу Джонса за всю его историю, — 22,6 %. Это событие затронуло не только США, а быстро распространилось по всему миру. Так, фондовые биржи Австралии потеряли к концу октября 41,8 %, Канады — 22,5 %, Гонконга — 45,8 %, Великобритании — 26,4 %.
• Промышленный индекс Доу Джонса — один из нескольких фондовых индексов, созданных редактором газеты Wall Street Journal и одним из основателей компании Dow Jones & Company. В него заложена стоимость акций 30 самых больших американских компаний, например, Apple, Coca-Cola и Intel.
• Падения индекса начались ещё в начале октября 1987 года. Причины назывались разные: военная эскалация в зоне Персидского залива, печальное известие о здоровье Первой леди Нэнси Рейган, ужесточение налогового законодательства со стороны Западной Германии и Японии и др. И вот чёрный понедельник произошёл 19 октября 1987 года.
• Это был самый крупный обвал, который затронул не только США, но и такие страны, как Австралия, Канада, Великобритания и др.
• После этого дня в падении стали винить непосредственно разработчиков. Хотя эксперты ещё спорят о его истинных причинах. Но, по официальной версии, к кризису привела ошибка программного трейдинга. Дело в том, что специальная программа автоматически заключала сделки, чтобы инвесторам не приходилось постоянно следить за котировками и проводить все операции вручную. Машины ориентировались на движение рынка: индексы растут — закупаем, падают — продаём.
• Когда рынок качнуло, машины одновременно стали продавать акции на миллионы долларов. Но покупать их было некому, и поэтому программа ещё больше снижала цену. За один день американский рынок акций потерял около 500 миллиардов долларов.
• Но были и положительные итоги у этой истории. Например, был изменён регламент работы фондовой биржи. Также были ограничены те виды программного трейдинга, которые ведут к перегрузке биржевых специалистов. Ввели процедуру принудительной остановки торговли при резких колебаниях индекса. Такие вот дела...
#Разное
17:12 21-12-2025
Kubenomicon.
• Поделюсь с Вами очень интересным проектом, который описывает методы атак на Kubernetes. Проект сырой, но постоянно дополняется необходимой информацией. Особенно будет полезно изучить начинающим специалистам: https://kubenomicon.com/
#Kubernetes
18:33 20-12-2025
https://endoflife.date/ — очень полезный ресурс, в котором собрана информация по дате окончания того или иного продукта (софт, ОС и т.д.). Однозначно в закладки.
#Разное
12:00 19-12-2025
Реальный баг.
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер, известная как "Amazing Grace" и "Grandma COBOL", обнаружила насекомое между точками на реле N70 панели F.
• Так вот, в октябре 2023 года произошла ситуация, напоминающая эту. Эксперты из TechTuber NorthWestRepair на своём канале поделились видео, как они пытаются найти причину, из-за которой не работает видеокарта NVIDIA RTX 4090 Founders Edition. Владелец видеокарты говорил, что она подаёт "признаки жизни", однако изображение на монитор не выводилось.
• Ремонт видеокарты начался с проверки на короткие замыкания и измерения напряжения, затем была проверка под микроскопом на наличие дефектов. В результате проверка указала на неисправность работы графического процессора. Его решили снять и обнаружили там реальный "баг", а именно муху (на фото). После очистки тестирование показало, что видеокарта стала работать нормально.