«Аутентификация и авторизация кажутся простыми — ввёл логин с паролем и получил доступ. Но на деле это сложный, многоуровневый мир протоколов, токенов и правил, где каждая ошибка конфигурации открывает дверь нарушителям. Российские стандарты, такие как требования 152-ФЗ к управлению доступом, лишь обрамляют эту техническую реальность, которую нужно понимать изнутри.» Различие между аутентификацией и авторизацией Аутентификация … Читать далее
«Почему в требованиях ФСТЭК неразрывно связаны шифрование и хэширование? Потому что настоящая безопасность, это не просто ‘закрыть на замок’. Это уверенность в том, что содержимое не подменили в пути, и что отправитель — именно тот, за кого себя выдаёт. Криптография, это не магия, а набор строгих инструментов, где каждый решает конкретную задачу: одни защищают секреты, … Читать далее
«Всё началось с того, что я заметил, как вентилятор ноутбука гудит в пустой комнате. Экран был чёрным, система — в спящем режиме, но процессор работал на полную. Это не баг и не фоновое обновление. Это кто-то другой использует твоё железо для добычи криптовалюты, пока ты спишь. И самое неприятное — ты, скорее всего, сам ему … Читать далее
“Каждый раз, когда сайт предлагает сохранить пароль в браузере, мы соглашаемся, чтобы не тратить время. Но о том, как эти пароли хранятся, кто может их увидеть и как они защищены, мы почти никогда не думаем. В итоге копятся сотни записей — от форума о рыбалке до аккаунта в банке. Мы доверяем браузеру самому важному, а … Читать далее
«Технический трек в айти часто изображают как линейный подъём по ступеням: джун, мидл, сеньор. В реальности он похож на дерево с множеством веток и тупиков. Путь от аналитика до архитектора, это не просто вертикальный рост компетенций, а серия стратегических переходов между кардинально разными типами деятельности, где каждый шаг требует не столько новых знаний, сколько фундаментального … Читать далее
Можно потерять деньги с банковского счёта, данные из всех приложений и контроль над устройством. Чтобы этого не произошло, не устанавливайте APK из мессенджеров, проверяйте источник файла и не давайте приложениям доступ к Accessibility Services без крайней необходимости. Что такое APK файл и как он устроен внутри Любое приложение для Android существует в виде файла формата … Читать далее
«Камера, которая уже установлена на телефоне, может читать QR-коды безопаснее любого стороннего сканера. Но мы продолжаем их скачивать. Это похоже на покупку отвёртки, чтобы закрутить шуруп, который можно закрутить пальцами. Риски этой привычки формируют целый рынок киберугроз.» Скрытая цена бесплатного сканера Когда пользователь ищет в магазине приложений «Сканер QR», он ожидает найти узкоспециализированный инструмент для … Читать далее
«Самый надёжный замок бесполезен, если ключ лежит под ковриком. В корпоративной безопасности таким ковриком часто становится Excel. Пароли в зашифрованной книге на рабочем столе, это не мелкое нарушение, а системная уязвимость, которая делает бессмысленными бюджеты на DLP, сертифицированные средства защиты и формальное соответствие 152-ФЗ. Угроза уже внутри, легитимна и использует удобство против вас.» Отчёт об … Читать далее
«Если бы блокчейн изначально масштабировался легко, мы бы не говорили о криптоинвестициях. Мы бы уже десять лет как платили за всё через децентрализованную сеть, а социальные сети принадлежали бы их пользователям. Но фундаментальный технический компромисс — трилемма — заставил всю индустрию пойти по другому, более сложному пути, отложив эту реальность. Сейчас мы не решаем проблему, … Читать далее
"Безопасность API, это не про шифрование и сертификаты, а про то, как система решает, кому можно, а кому нельзя. Самые частые ошибки, это не баги в коде, а неверные допущения о том, как работает авторизация в распределённой системе. Мы часто думаем о проверке токена, но забываем, что происходит после неё." Почему авторизация в API, это … Читать далее