#### PeerVPN

Это программа, создающая виртуальную локалку из нескольких удалённых компьютеров. Такие сети могут быть полезны для непосредственного общения приложений, например совместного использования файлов ил игр. Часто обычными способами наладить такое взаимодействие невозможно из-за фаерволов или NAT. Традиционные VPN работают по схеме клиент-сервер, когда много узлов соединяются с одним сервером. У такой звёздной топологии есть недостатки. Центральный сервер должен обладать большой пропускной способностью, чтобы обрабатывать весь трафик сети. Если сервер падает, сеть падает следом. PeerVPN работает по распределённой технологии, когда все узлы общаются друг с другом без необходимости в центральном сервере. Если один узел отключается, на сеть это не влияет. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250277/#habracut

Подводя итоги прошлого года, не будет лишним упомянуть о наиболее масштабных хакерских атаках, от которых пострадали десятки миллионов пользователей сети. Сейчас мы рассмотрим краткую историю каждого из взломов и выясним, чему они нас научили. ![][1] [Читать дальше →][2]

[1]: //habrastorage.org/files/310/568/1fe/3105681fed304d7ab9116ce6ec6b316a.jpeg
[2]: http://habrahabr.ru/post/250289/#habracut

**Приветствую уважаемых Хабровчан.** Я Артем Макаров aka Robin, ведущий инженер компании Хардмастер, уже много лет специализируюсь на восстановлении данных с разнообразных носителей, и сегодня я хотел бы поделиться с вами историей восстановления файлов с одной весьма любопытной флешки. Надеюсь получить отзывы на свой хабродебют в комментариях. Несмотря на то, что перевидать всяких девайсов довелось огромную кучу, с задачей, подобно описываемой далее, раньше мне сталкиваться не приходилось. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250327/#habracut

Что такое — _«боты тёмной стороны силы»_? Обозначим так сканирующие программы (поисковые роботы, пауки), которые используют злоумышленники. В отличие от роботов поисковых систем [1, 2], «боты тёмной стороны силы» (в дальнейшем для краткости — боты) заняты поиском уязвимостей, вредоносных программных закладок, конфиденциальной информации и т. д. Действия, аналогичные работе бота, может выполнять и человек, но использование бота, по понятным причинам, эффективнее и более распространено. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250313/#habracut

Обожаю трюки и лайфхаки. Каждый раз радуюсь, когда удается упростить очередную рутинную операцию. А так как работаю я, вот уже 8 лет, веб-программистом, то рутинные операции и лайфхаки у меня программерские. Вот этим и хочу с вами поделиться. Часть трюков до меня уже описали на хабре, часть я взял из других источников, часть придумал сам. Буду благодарен если в комментариях к посту вы напишете, какие трюки используете вы.

# Использование \*\* в zsh

Таким образом я ищу файлы в папке по расширению рекурсивно:

ls **/*.json


файлы с размером выше чем 1 мегабайт:

ls -lh **/*(Lm+1)


Быстро и уверенно удаляем мусор из репозитория и судорожно правим. gitignore:

git rm —cached **/*.pyc


[Читать дальше →][1]

[1]: http://habrahabr.ru/post/267751/#habracut

Этой записью в блог мы начинаем цикл постов о паролях в SAP-системах: о том, как различные пароли хранятся в системе, как защищаются и передаются. На первый взгляд все просто — хранить пароли нужно в базе данных. Конечно, в случае обычных пользователей так и есть: пароли хранятся в виде хешей в БД. Однако для служебных пользователей SAP-системы не все так просто. Ввиду сложных архитектурных особенностей ERP-системы, разработчикам из компании SAP приходится использовать различные типы хранилищ для такой критичной информации, как пароли системных пользователей. ![][1] Что ж, обсудим, как надежно реализованы эти хранилища и может ли атакующий использовать их недостатки в своих целях. [Читать дальше →][2]

[1]: //habrastorage.org/files/26f/094/05c/26f09405c6c34fc2980c819cfd5f899f.jpg
[2]: http://habrahabr.ru/post/250335/#habracut

В своей работе мне приходится проводить чуть ли не все свое время в консоли, как в локальной, так и в удаленной. Нет, что вы, я не жалуюсь, даже наоборот — мне нравятся возможности автоматизации, которые предоставляют консольные инструменты, и работа в консоли вполне продуктивна. Но если вы проводите за своим инструментом до 80% рабочего времени, то желательно убедиться, что вы не тратите время впустую и что работа доставляет вам удовольствие. В этой статье я бы хотел немного рассказать про те инструменты, которыми я лично пользуюсь каждый день, и про то, как они улучшают user experience (и, часто, продуктивность) при работе с консолью и с удаленными серверами в частности.

### Проблемы ssh

При работе с удаленными серверами по ssh есть много вещей, которые могут фрустрировать, но основных проблем две, и первая из них принципиально неразрешима в рамках ssh:

1. При высоком round-trip latency (>100 ms) пользовательский ввод появляется с ощутимой задержкой, а при использовании мобильного интернета с edge (latency 1000 ms) работа становится подобна пытке
2. При временных проблемах (несколько минут) с доставкой пакетов, соединение может порваться с write failed: broken pipe, причем узнаете вы об этом только при попытке ввода или при использовании настроек вроде keepaliveinterval

Первая проблема неразрешима потому, что ssh by-design является просто транспортом для байтов, и существующие приложения на это поведение расчитывают. Поскольку ssh не пытается интерпетировать этот поток байтов, он не может осуществлять предиктивный ввод. Лично для меня именно эта проблема наиболее актуальна, поскольку мне приходится работать с серверами в европе и США, и во втором случае задержка составляет около 200 мс и является принципиально неустранимой, по крайней мере до изобретения квантовой коммуникации или чего-нибудь подобного. Вторая же проблема проявляется в наших условиях относительно редко, но всё же неприятно переустанавливать все соединения при сбоях сети (и перезапускать упавшие приложения, если они почему не были запущены в screen). [Читать дальше →][1]

[1]: http://habrahabr.ru/post/267797/#habracut

Всем привет! После успешного [дайджеста новостей][1] за 2014 год мы решили сделать рубрику регулярной, точнее – ежемесячной. Сегодня – самые важные новости информационной безопасности за январь. Методика выбора новостей немного изменилась. Мы по-прежнему берем самые посещаемые новости с нашего сайта [Threatpost][2] и пытаемся понять, почему они удостоились такого внимания. Но в ежемесячном дайджесте новостей будет пять. Напоминаю, что на Threatpost мы собираем все новости индустрии информационной безопасности. Собственные исследования «Лаборатории» публикуются на сайте [Securelist][3]. **Краткое содержание**: Дыра в glibc и почему физики не дружат с лириками, северокорейский браузер, зарядка-кейлоггер и дыры в клавиатурах, криптолокеры в целом и в частности, взлом WiFi с социальной инженерией. [Поехали!][4]

[1]: http://habrahabr.ru/company/kaspersky/blog/246745/
[2]: http://threatpost.ru/
[3]: http://securelist.ru/
[4]: http://habrahabr.ru/post/250331/#habracut

Доброго дня, хабровцы. По результатам [прошлой статьи][1] я понял, что тема интересна общественности, поэтому подготовил еще один материал, чуть сложнее. По прежнему нет скриптов, только HTML/CSS. Смотрите видео и под кат.




[Читать дальше →][2]

[1]: http://habrahabr.ru/post/267701/
[2]: http://habrahabr.ru/post/267801/#habracut

Немножко про каналы, про выполнение в основном процессе, про то как вынести блокирующие операции в отдельную _горутину_.

* Каналы и пустое значение
* Односторонние каналы
* Выполнение в основном процессе
* Вынос блокирующих операций

[Читать дальше →][1]

[1]: http://habrahabr.ru/post/267785/#habracut

![][1] Предшествующая [статья ][2]про исключения в С++ оставила кучу тёмных мест, главное, что осталось непонятным — так как же всё-таки осуществляется передача управления при возбуждении исключения? С [SJLJ ][3]всё понятно, но, утверждается, что эта технология практически вытеснена некоторым без-затратным (при отсутствии исключений) табличным механизмом. А вот что это за механизм такой и как он устроен, будем разбираться под катом. [Читать дальше →][4]

[1]: https://habrastorage.org/files/69b/c6b/9b1/69bc6b9b15c64d63ba7fa1c046ca15d0.png
[2]: http://habrahabr.ru/post/208006/
[3]: http://www.cplusplus.com/reference/csetjmp/setjmp/
[4]: http://habrahabr.ru/post/267771/#habracut

![image][1] **Позавчера мы ради интереса прошлись по компаниям, сидящим по-соседству** — даже в самых стабильных задумываются о сокращении штатных расписаний и урезают бюджеты на обучение сотрудников. Так что прокачивание своих навыков, будь ты уже знаком с кодом или только думаешь об этом, — теперь, похоже, личное дело каждого. Чтобы было проще сориентироваться, мы собрали курсы и полезные события для начинающих и продолжающих IT-специалистов и их окружения. Дневные и вечерние, оффлайновые и онлайновые. Не забывай — количество мест на самых привлекательных курсах обычно ограничено и заканчивается стремительно! А некоторые так и просто стартуют совсем скоро — **запрыгивай в уходящий поезд!** [Читать дальше →][2]

[1]: http://habrastorage.org/files/dfd/37c/0f4/dfd37c0f4f0240559aed1f54eef944fa.jpg
[2]: http://habrahabr.ru/post/250333/#habracut

![image][1] На днях еще одно государственное ведомство, Министерство внутренних дел РФ, озвучило свою позицию по криптовалютам, в частности про биткоин. «Неурегулированный статус криптовалют делает операции с ними довольно рискованными, и в случае каких-либо потерь держатели Bitcoin оказываются совершенно незащищены», — считает начальник Бюро специальных технических мероприятий МВД России Алексей Мошков. Об этом он [сообщил][2] ТАСС. Он добавил, что в отношении bitcoin МВД России будет действовать исходя из законодательного регулирования, которое должен разработать Центробанк. «Мы полагаемся на решения нашего регулятора в лице Центробанка и будем действовать исходя из законодательной практики, складывающейся в этом направлении», — сказал Мошков. В сентябре 2014 года замглавы Минфина Алексей Моисеев говорил, что законопроект о запрете использования виртуальных денег в России может быть принят Госдумой весной 2015 года. По его словам, осенью документ находился на стадии согласования при том, что со стороны правоохранительных органов были серьезные замечания, связанные с наказаниями (за что наказывать и как). Летом прошлого года сообщалось, что ЦБ и правительство РФ могут со временем разработать регулирование для обращения электронных валют в России. «Мы сторонники аккуратного подхода к биткоин. Совместно с Банком международных расчетов мы мониторим эту ситуацию. Нельзя отвергать этот инструмент, возможно, за ним будущее», — отмечал Лунтовский, первый зампред ЦБ РФ. Тем временем на официальном портале общественных и экспертных обсуждений Regulation.gov.ru [выставлен текст законопроекта][3], подготовленный Минфином, который вносит изменения в КоАП РФ, а также в федеральные законы «о ЦБ РФ» (86-ФЗ) и «Об информации, информационных технологиях и о защите информации» (149-ФЗ), расширяющие толкование понятия денежных суррогатов и налагающие новые санкции за их выпуск/эмиссию, распространение, а также за информацию об этом. [Читать дальше →][4]

[1]: http://habrastorage.org/getpro/habr/post_images/cb6/a89/52f/cb6a8952f1e7d434284c8f5b02c540de.jpg
[2]: http://tass.ru/ekonomika/1754791
[3]: http://regulation.gov.ru/project/17205.html?point=view_project&stage=2&stage_id=16241
[4]: http://habrahabr.ru/post/250337/#habracut

# Введение



## Немного общей информации

**PureData** — визуальный язык программирования для создания интерактивных программ (в данном случае их чаще называют «патчи»), используемых для исполнения и записи компьютерной музыки, звукового дизайна и визуализаций. Люди, знакомые, например, с Max/MSP, узнают привычный для них графический код, так как PureData — один из языков семейства MAX-подобных. Выражаясь проще и слегка утрировано — это язык, заточенный под программирование синтезаторов и эффектов. В этой статье я опишу некоторые элементы языка, а так же основные принципы, на которых базируется работа со звуком в PureData. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250321/#habracut

![][1]Разработчики [TLS-имплементации на языке OCaml][2] объявили конкурс BTC Piñata, чтобы доказать надёжность своей защиты. Известно, что конкурсы не могут быть настоящим доказательством, но этот очень уж забавный, да ещё с небольшим денежным призом. Итак, [эти двое хакеров][3] открыли демо-сервер [ownme.ipredator.se][4]. На сервере лежит ключ от биткоин-адреса [183XuXTTgnfYfKcHbJ4sZeF46a49Fnihdh][5]. Сервер отдаст нам ключ, если мы предъявим сертификат. Организаторы предусмотрели механизм MiTM для нас. Мы можем пропускать через себя трафик между виртуальными машинами BTC Piñata (TLS-сервер и TLS-клиент). Как понятно, в этом трафике есть нужный сертификат, нужно его только извлечь каким-то образом. [Читать дальше →][6]

[1]: //habrastorage.org/files/7d7/850/46a/7d785046a3ec489f946cd4f8a9346ab3.png
[2]: https://github.com/mirleft/ocaml-tls
[3]: http://media.ccc.de/browse/congress/2014/31c3_-_6443_-_en_-_saal_2_-_201412271245_-_trustworthy_secure_modular_operating_system_engineering_-_hannes_-_david_kaloper.html#video
[4]: http://ownme.ipredator.se/
[5]: https://blockchain.info/address/183XuXTTgnfYfKcHbJ4sZeF46a49Fnihdh
[6]: http://habrahabr.ru/post/250339/#habracut

![][1] Уважаемые разработчики! **Спешим сообщить Вам, что мы запускаем серию вебинаров для Вас ** Вот наша программа на ближайшие месяцы: 18 февраля 2015 — 12:00 **Новые возможности InterBase XE7** В ходе вебинара мы рассмотрим новые возможности Interbase XE7 такие как: улучшения в производительности, инкрементный дамп, транзакции, счетчики производительности, индексы, 64-разрядный идентификатор транзакций, Change views и другие. В вебинаре примет участие Дмитрий Кузьменко, эксперт по InterBase. 4 марта 2015 — 12:00 **Что нового в FireDAC XE7 ** FireDAC, являясь флагманской технологией доступа к данным компании Embarcadero, успешно эволюционирует. Данный вебинар посвящен нововведениям в FireDAC XE7, в частности, новым возможностям работы с BLOB-значениями и новому компоненту TFDBatchMove. В вебинаре примет участие Дмитрий Арефьев, главный разработчик и идеолог FireDAC. 18 марта 2015 12:00 **Построение пользовательского интерфейса с помощью универсальной панели MultiView ** В ходе вебинара мы рассмотрим различные варианты применения нового уникального компонента TMultiView, который позволяет существенно сократить время на проектирование интерфейсов, благодаря заложенным в него возможностям. Рассмотрим поведение компонента на различных платформах, свойства компонента, варианты использования компонента в мобильных приложениях. [Читать дальше →][2]

[1]: //habrastorage.org/files/5a1/e69/7d8/5a1e697d8ed64e85812ab30af534cc3e.png
[2]: http://habrahabr.ru/post/250353/#habracut

На днях столкнулся с интересной задачкой, которая показалась мне достойной аудитории данного ресурса. Условие ее следующее: **«Найти максимально допустимое отклонение массы конфеты при ее производстве, чтобы нетто коробки, состоящей из 12 штук их, не выходило за пределы 310±7 грамм в 90% случаев. Закон распределения считать нормальным.»** Стоит сказать, что условие не было выдернуто из интернета или подсмотрено на каком-нибудь ресурсе занимательных задач, а пришло от одного очень хорошего друга, который по должности своей инженер по организации и управлению производством на одной не без известной кондитерской фабрике. То есть задача имеет вполне реальное происхождение, а ее решение — практическую пользу. Предлагаю всем читателям попробовать найти решение самостоятельно, а спустя пару дней я опубликую свое. [][1]

[1]: http://habrahabr.ru/post/267777/#habracut

С 16 по 22 января в Московском университете стали и сплавов прошла III Международная олимпиада по программированию среди школьников. Мероприятие было организовано НИТУ «МИСиС» и Cognitive Technologies. Признаться, понадобилось практически три недели, чтобы уговорить организаторов открыть хотя бы пару условий предложенных на мероприятии задач и получить разрешение опубликовать их разбор. Поверьте, это было не просто. Хотя их можно понять. Как известно, составление условий задач считается одним из наиболее сложных этапов подготовки соревнований по программированию. По их завершению они, как правило, используются при проведении тренировок команд, а также внешних контестов. Коллективы тренеров от разных вузов регулярно обмениваются контестами. Вообщем, повторное использование задач принято в олимпиадном движении. ![][1] [Читать дальше →][2]

[1]: http://habrastorage.org/files/c1f/876/112/c1f876112f7b4aa99ca1a5b8f15f17e1.jpg
[2]: http://habrahabr.ru/post/250349/#habracut

Хочу поделиться парой серьёзных уязвимостей, найденных мною в телефонных аппаратах Grandstream.

##### **1\. Загрузка произвольного конфига в телефон**

Изучая веб интерфейс цветных телефонов gxp21xx для изучения их api, наткнулся на скрипт загрузки конфига в телефон, это скрипт /cgi-bin/upload\_cfg В отличии от других скриптов, этому скрипту не передаётся sessionid, а передаётся только файл. Быстрая проверка через curl показала, что и вправду, воспользоваться этим скриптом можно без без авторизации:

curl -i -F name="config.txt" -F file="@config.txt;type=text/plain" -H "Content-Disposition: form-data; name=file; filename=config.txt" http://xx.xx.xx.xx/cgi-bin/upload_cfg


Файл config.txt представляет из себя тектовый файл с набором параметров вида: Рхххх=уууу Заливая файл с одной строчкой «P2=admin», мы меняем админский пароль на телефоне, после чего можем залогиниться в веб интерфейс. В телефоне присутствуют аналогичные скрипты для загрузки воллпейпера, телефонной книги и т.д. Данная узязвимость присутствует в телефонах gxp2130, gxp2140 и gxp2160 [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250403/#habracut

![][1]Многие начинающие разработчики сталкиваются с необходимостью показать существующий опыт разработки ПО. Даже если вакансия называется «программист без опыта работы», то и без Капитана ясно, что предпочтение будет отдано претенденту, показавшему более-менее внятный код, более-менее подтверждающий наличие полезных в работе навыков. Что же делать? Показать решение типового задания с ранних курсов или дипломный проект? Возможно, этого мало? Может быть, написать какую-нибудь впечатляющую программу и заодно получить опыт разработки? Например… калькулятор или компилятор или что там обычно пишут для получения и показа опыта? А если не хватит сил закончить? На эти вопросы и сомнения есть один почти универсальный ответ — доработка проектов с открытым кодом. Вы получаете возможность решать реальные проблемы самых разных уровней сложности, результат не только будет работать у сотен-тысяч-миллионов людей во всем мире, но его еще и можно будет показать. Эту возможность иногда упоминают, но обычно на ней не останавливаются. В этот раз — остановимся на ней. [Читать дальше →][2]

[1]: https://habrastorage.org/files/583/ca3/6d4/583ca36d499b49c985d5c559973e8f83.jpg
[2]: http://habrahabr.ru/post/267631/#habracut

Доброго времени суток. Столкнулся, значит, с такой проблемой. Есть обработка в 1С 8.2 и туда надо запихнуть в автоматическом режиме кучу данных. Куча данных находилась в своей базе данных, в своей архитектуре и подключить базу к 1С или переформатировать таблицы не представлялось возможным. Единственный способ, как мне показалось, вывести таблицу на виртуальный принтер, а оттуда и плясать начнем. Итак, имеем документ в формате \*.xps, который нам дал заботливый виртуальный принтер: ![][1] [Читать дальше →][2]

[1]: //habrastorage.org/files/ca8/3ac/4e3/ca83ac4e339c4ad198e914e22f793ef4.jpg
[2]: http://habrahabr.ru/post/250371/#habracut

## Зачем и для кого статья?

Изначально это была памятка для студентов, которые начинают работать с unix-подобными системами. Иными словами, статья рассчитана на тех, кто не имеет предыдущего опыта работы в unix-овой командной строке, но по тем или иным причинам хочет или должен научиться эффективно с нею взаимодействовать. Здесь не будет пересказа манов (документации), и статья никак не отменяет и не заменяет их чтение. Вместо этого я расскажу о главных вещах (командах, приемах и принципах), которые надо осознать с самого начала работы в unix shell-е, чтобы работа происходила эффективно и приятно. Статья касается полноценных unix-подобных окружений, с полнофункциональным шеллом (предпочтительно zsh или bash)и достаточно широким набором стандартных программ. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/267825/#habracut

Продолжаем обзор деятельности нашего Хакспейс клуба. [vk.com/club71815206][1] Мы давно мечтали купить в наш клуб ЧПУ станок. Но решили его сделать сами. С нуля, начиная от железа и кончая программного обеспечение (прошивка контроллера и управляющая программа). И у нас это получилось. Детали для станка старались выбирать из доступных в свободной продаже, многие из которых даже не требуют дополнительной слесарной обработки. ![][2] [Читать дальше →][3]

[1]: http://vk.com/club71815206
[2]: //habrastorage.org/files/9f4/a67/4c7/9f4a674c7b954aa8a7071171f5f9e926.jpg
[3]: http://habrahabr.ru/post/250385/#habracut

![][1] **[bobuk][2] показал человека-паука и сказал, что айтишники спасают человечество. **Потому что помогают решать проблемы. И ещё в качестве примера привёл Леонардо да Винчи с его вертолётом. Дети вертолёт не запомнили, но прыжки человека-паука на экране оценили. И ещё все узнали Нотча, написавшего Майнкрафт практически в одну харю. Но давайте-ка я начну сначала и расскажу, что привело нас к открытию исходников игры «Такси», пришиванию пуговиц к сосискам и рассказу целой толпе детей про сложную и опасную профессию программиста. [Читать дальше →][3]

[1]: //habrastorage.org/files/ec3/116/ccb/ec3116ccbdd24bd99bc348f92fdb9d58.jpeg
[2]: http://habrahabr.ru/users/bobuk/
[3]: http://habrahabr.ru/post/250373/#habracut

Книга по разработке на ПЛИС на языке VHDL в пакете Quartus II. На украинском языке. Ссылка: [Проектирование на ПЛИС][1] Содержание: [Читать дальше →][2]

[1]: https://www.dropbox.com/s/on64nmwoda3s2by/FPGA.pdf?dl=0
[2]: http://habrahabr.ru/post/250375/#habracut

Привет, Хабр! Правила игры изменились. Еще вчера мы специализировались на решениях для малого и среднего бизнеса, и не из-за того, что обладали какими-либо техническими ограничениями, а лишь потому, что на рынке было засилие тяжеловесов в IT отрасли. Наше ПО попросту не рассматривали корпорации, как комплексное решение в области безопасности, хотя и устанавливали Traffic Inspector для защиты отдельных офисов и небольших подразделений. Но с середины 2014 года, в связи с изменением рыночной конъектуры и санкционной политики западных компаний, в наш офис стали все чаще поступать запросы о возможности объединения наших программно-аппаратных устройств в единое решение для корпораций. В результате чего, нами был разработан новый продукт Traffic Inpector Enterprise – комплексная система защиты разветвленной сети под управлением единой консоли. [![][1]][2] Итак, как мы к этому пришли? [Читать дальше →][3]

[1]: https://habrastorage.org/files/a20/0db/bac/a200dbbac6ef499aa5e917006b95f7c0.jpg
[2]: http://habrahabr.ru/company/smart_soft/blog/265495/
[3]: http://habrahabr.ru/post/265495/#habracut

![][1] В [посте ][2]про «новшества» Parallel Studio XE 2015 я обещал написать про интересную технологию от Intel — Graphics Technology. Собственно, это я и собираюсь сделать сейчас. Суть Intel® Graphics Technology заключается в использовании интегрированного в процессор графического ядра для выполнения вычислений на нем. Это оффлоад (offload) на графику, что, естественно, дает прирост производительности. Неужели интегрированная графика настолько мощна, что этот прирост будет действительно велик? Давайте посмотрим на семейство новых графических ядер GT1, GT2 и GT3/GT3e, интегрированных в процессоры 4-го поколения Intel® Core™. [Читать дальше →][3]

[1]: //habrastorage.org/files/f5f/34e/466/f5f34e46649e4a6ca59635f2ae21dbdb.jpg
[2]: http://habrahabr.ru/company/intel/blog/239555/
[3]: http://habrahabr.ru/post/249743/#habracut

Не секрет, что в больших конторах тема фильтрации Интернета довольно актуальная. С этой задачей справляется немало программных и аппаратных решений. Но в настоящее время все те сайты, которые мы резали ранее, работают по протоколу HTTPS. Как известно, данный протокол проследить, прослушать и т. п., невозможно. А любой кеширующий фильтрующий прокси-сервер, редиректор и т. п. Фильтрует только HTTPS. Как же резать Вконтакте, Одноклассники, iphide.info и многие другие подобные сайты? Как блокировать доступ к личной почте в организации, если использование оной запрещено порядками в организации? Да, можно фильтровать по IP адресам, но они частенько меняются, да и на многих ресурсах несколько IP адресов. Блокировать их на уровне файрвола как-то совсем не православное решение, и не совсем удобное. И вот, совсем недавно, мне один товарищ рассказал, что он поднимает у себя в конторе кеширующий прокси с фильтрацией HTTPS, меня это заинтересовало. А поднимал он **Squid 3.5.8**. Как выяснилось, в нем переработана организация перехвата шифрованных HTTPS-сеансов (ssl\_bump), вместо режимов перехвата («modes») введены в обиход действия («actions»), которые в том числе можно использовать в ACL. Режим «server-first», при котором вначале осуществляется соединение с целевым сервером, а потом создаётся защищённое соединение между клиентом и прокси, теперь доступен как действие «bump». Режим «none», при котором создаётся TCP-туннель без дешифровки трафика, теперь доступен как действие «splice». Для обеспечения обратной совместимости добавлено действие «peek-and-splice», при котором решение о типе создаваемого вначале соединения (клиент-прокси или прокси-сервер) принимается на основе SSL hello-сообщений. Добавлены действия «peek» и «stare» для получения клиентского или серверного сертификата с сохранением возможности дальнейшего применения режимов «splice» и «bump» для соединений. Добавлено действие «terminate» для закрытия соединений к клиенту или серверу. Вот как раз SSL BUMP, PEEK-and-SPLICE и Terminate нам и нужны. Вообще, схема работы на самом деле довольно простая. Squid подключается к HTTPS ресурсу, получает его сертификат, и может «посмотреть» некоторые данные о ресурсе, в частности имя сервера, которое нам как раз и нужно для блокировки! Все мануалы, которые есть в Интернете, то и дело описывают Man in the middle (MITM) атаку с подменой сертификатов, при которой в принципе не работают некоторые сайты и банк-клиенты, да и юзеры явно видят, что за ними следят. Мы же с товарищем совместными усилиями добились сбособа фильтрации и отслеживания HTTPS без подмены сертификатов, без MITM и прочего, и все это в прозрачном режиме без настройки браузеров! Впоследствии я столкнулся с некоторыми сложностями, в частности Squid начинал сегфолтиться на большой нагрузке. Но проблема была решена. Дело в том, что в **Openssl** имеются кое какие баги, которые исправлены в библиотеке Libressl. Поэтому необходимо сначала интегрировать в систему **Libressl**, потом уже после внесения патча в файл bio.cc в исходниках Squid приступать к компиляции последнего. Поехали! Оговорюсь, что у меня используется дистрибутив Debian Jessie x86, и Squid я в итоге собрал версии 3.5.9 (последняя на данный момент версия), и статья рассчитана на более-менее опытного пользователя Linux, так как некоторые моменты опускаются, а говорится лишь самое главное, так как мне лень все разжевывать. Итак, если вам интересно, идем под кат. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/267851/#habracut

_Предлагаю читателям «Хабрахабра» перевод статьи [«Spotting bad actors: what your logs can tell you about protecting your business»][1] из официального блога [Elasticsearch][2]. Статья рассказывает о том, как можно использовать возможности Elasticsearch для анализа логов веб-сервера с целью обнаружения подозрительной активности на сайте._ Давайте подумаем, что и когда мы делаем в случае попыток взломать наш сайт? Во-первых, чаще всего мы пытаемся устранить угрозу уже тогда, когда злоумышленники нашли уязвимость на сайте и воспользовались ей. Во-вторых, зачастую единственный оперативный инструмент борьбы со злоумышленниками – это блокировка IP-адресов, но это мало эффективный инструмент, если мы не владеем развернутой информацией обо всех адресах, с которых ведется атака на сайт. Но на сколько бы изменилась ситуация, если бы мы могли заблаговременно получать развернутую информацию обо всех IP-адресах и подсетях, которые проявляют подозрительную активность и блокировать именно их? Звучит здорово, не правда ли? Мы можем легко сделать это вместе с Elasticsearch. [Читать дальше →][3]

[1]: http://www.elasticsearch.org/blog/spotting-bad-actors-what-your-logs-can-tell-you-about-protecting-your-business/
[2]: http://www.elasticsearch.org/
[3]: http://habrahabr.ru/post/250413/#habracut

Не так давно «Лостфильм» переехал на https. В связи с этим flexget стал выдавать чудесную ошибку при попытке скачать торрент-файл:

RequestException hostname 'www.lostfilm.tv' doesn't match either of 'ssl2000.cloudflare.com', 'cloudflare.com', '*.cloudflare.com'


Поиск в итернетах ничего вразумительно не выдал, либо же все данные были 1-2 летней давности, курение форума Лостфильма тоже не принесло результатов. Поэтому возникла идея написать очередной велосипед. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250429/#habracut

Всем привет. ![][1] В данном примере я покажу один из способов запуска актуальной версии Django под свежим Python. [Python 3.4.2 | Release Date: 2014-10-13][2] [Django 1.7.4 | January 27, 2015][3] Будут использованы [virtualenvwrapper][4] и [pyenv][5]: — virtualenvwrapper будет работать с «системным» python2 — используем pyenv для установки последней версии Python — используем virtualenvwrapper для создания виртуального окружения с последней версей Python «внутри» [Читать дальше →][6]

[1]: //habrastorage.org/files/642/d01/fc6/642d01fc6f6143bda8cd7c31b6353e46.png
[2]: https://www.python.org/downloads/release/python-342/
[3]: https://docs.djangoproject.com/en/1.7/releases/1.7.4/
[4]: https://virtualenvwrapper.readthedocs.org/en/latest/
[5]: https://github.com/yyuu/pyenv
[6]: http://habrahabr.ru/post/250433/#habracut

Нынче модно делать API и многие из нас уже реализовывали какие-то API на PHP. Одна из задач REST API — отдавать наборы данных, чтобы их в конечном итоге отобразить в табличном виде. Для этого, помимо прочего, приходится решать такие задачи:

* провалидировать запрос,
* отфильтровать данные,
* отсортировать данные,
* запрашивать и отдавать не все колонки, а только некоторые,
* реализовать пагинацию.

Не знаю как вы, но я вижу, что часто это делается велосипедными решениями. Задачи с виду не сложные, но чтобы их решить качественно, приходится потратить немало времени на разработку, документацию и разъяснения коллегам, как работает ваше изобретение. Я расскажу о том, как можно реализовать эти задачи весьма технологично с помощью OData. ![image][1] [Читать дальше →][2]

[1]: https://habrastorage.org/getpro/habr/post_images/c4a/6ac/43a/c4a6ac43ae7c2332e4c490fc3e0c1b26.jpg
[2]: http://habrahabr.ru/post/267811/#habracut

Всем доброго времени суток! В этой статье я хочу рассказать про трудности, с которыми столкнулся при отображении и обновлении древовидной структуры с помощью QTreeView и QAbstractItemModel. Так же предложу велосипед, который я создал, чтобы обойти эти трудности. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250431/#habracut

Существует множество книг и статей по данной теме. В этой статье я попробую понятно рассказать самое основное. Бинарное дерево — это иерархическая структура данных, в которой каждый узел имеет значение (оно же является в данном случае и ключом) и ссылки на левого и правого потомка. Узел, находящийся на самом верхнем уровне (не являющийся чьим либо потомком) называется корнем. Узлы, не имеющие потомков (оба потомка которых равны NULL) называются листьями. ![image][1] _Рис. 1 Бинарное дерево_ [Читать дальше →][2]

[1]: http://habrastorage.org/files/772/ac8/a1e/772ac8a1ed9c4abb862c036a2113a196.png
[2]: http://habrahabr.ru/post/267855/#habracut

@io.js\_ru это аккаунт сообщества, занимающегося русской локализацией [io.js][1]. Мы будем публиковать здесь переводы официальных материалов, а также другие статьи о io.js. Кроме того, каждую пятницу мы будем публиковать еженедельные новости обо всём, что связано с io.js. Кстати, мы ищем переводчиков! Если вы хотите помочь нам — напишите о себе issue в нашем [GitHub-репозитории][2]. Предлагаем вашему вниманию перевод статьи [io.js Week of February 6th 2015][3] от [@iojs][4] на Medium. Atom и nw.js перешли на io.js, Linux Tracing, а также многое другое. [Читать дальше →][5]

[1]: https://iojs.org
[2]: https://github.com/iojs/iojs-ru
[3]: https://medium.com/node-js-javascript/io-js-week-of-february-6th-2015-e185388549a4
[4]: https://medium.com/@iojs
[5]: http://habrahabr.ru/post/250451/#habracut

Пару недель назад в Переславле-Залесском прошла юбилейная, десятая конференция «Свободное программное обеспечение в высшей школе», кратко OSEDUCONF-2015. Как следует из названия конференции, доклады все крутятся вокруг опенсорса-линукса и образования, иногда с уклоном в чисто научно-технические штуки, иногда в чистый cофт, иногда — в политику. Бывают и зажигательные доклады, и откровенно скучные, глубоко-философские и приземленно-реалистические, доклады конкретно-практические и академические с названием в три абзаца, из которых все равно ничего не понятно, жалобы на жизнь и истории успеха. Open-source разработчики и мейнтейнеры, ректоры и преподаватели ВУЗов, практики из индустрии, чиновники из министерств, ученые разной степени безумности, студенты, набирающие очки для диплома. Теперь доклады ищут зрителей — я качественно их записал и смонтировал (монтаж с нескольких камер, экрана и диктофона, технологии оживления™ и т.п.), вот, в качестве иллюстрирующей картинки минутный ролик-почти коуб, хорошо подходит, чтобы мгновенно передать и общее впечатление и быстро пролистать все доклады — может у кого-то, даже без чтения обзоров-аннотаций, глаз сразу зацепится за интересное.




А под катом краткий обзор и классификация докладов как с последней конференции, так и ретроспектива-классификация за три последних года — не бойтесь кликать, там только компактный текст, а все видео — ссылками. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250475/#habracut

![][1] Эта статья предназначена для тех, кто уже знает про Docker, знает для чего он. А вот что делать с этим дальше не знает. Статья носит рекомендательный характер и не посягает на звание «лучшая практика». Итак, возможно вы прошли [docker tutorial][2], докер кажется простым и полезным, но вы пока не знаете, как он может вам помочь с вашими проектами. Обычно с деплоем возникает три проблемы:

1. Как мне доставить код на сервера?
2. Как мне запустить код на серверах?
3. Как мне обеспечить одинаковость окружения, в котором запускается и работает мой код?

Как с этим поможет Docker под катом. [Читать дальше →][3]

[1]: //habrastorage.org/files/a5e/45b/7b2/a5e45b7b267f436ab9da1ce6720d1e48.jpg
[2]: https://www.docker.com/tryit/
[3]: http://habrahabr.ru/post/250469/#habracut

В нашей [статье ][1]об эффективных ревью кода мы рекомендовали использовать чеклист. Чеклисты (контрольные списки) — это великая вещь в ревью: они гарантируют, что ревью действительно прошло через вашу команду. Также они способствуют выявлению и решению общих трудностей. Исследование, проведенное Software Engineering Institute, показывает, что программисты делают 15-20 распространенных ошибок. Добавив такие ошибки в чеклист, вы можете быть уверены, что заметите их в момент появления и поможете от них избавиться надолго. Чтобы вам было от чего отталкиваться, вот вам список типичных пунктов [Читать дальше →][2]

[1]: http://habrahabr.ru/post/250489/
[2]: http://habrahabr.ru/post/250491/#habracut

Сортировка списков – очень распространённая задача в программировании, и в Perl 6 есть несколько улучшений функции sort, помогающих вам решить такую задачу. В языке есть обыкновенный типичный sort:

# сортировка по умолчанию с учётом типа
my @sorted = @unsorted.sort; # или sort @unsorted;


Как и в Perl 5, можно настраивать функцию для сравнения:

# численное сравнение
my @sorted = @unsorted.sort: { $^a <=> $^b };




# то же, с использованием функциональной семантики
my @sorted = sort { $^a <=> $^b }, @unsorted;




# строковое сравнение ( как cmp в Perl 5 )
my @sorted = @unsorted.sort: { $^a leg $^b };




# сравнение с учётом типа
my @sorted = @unsorted.sort: { $^a cmp $^b };


Если записать условие сравнения в скобках, тогда вам не понадобится двоеточие. Это удобно, когда вы хотите выстроить цепочку из других методов, тянущуюся за sort:

my @topten = @scores.sort( { $^b <=> $^a } ).list.munch(10);


[Читать дальше →][1]

[1]: http://habrahabr.ru/post/267887/#habracut

Я знал теорию. Ревью кода помогает:

* Находить баги
* Обеспечивать читаемость и поддерживаемость кода
* Распространять знания кода на всю команду
* Позволять новым членам команды быстрее входить в работу
* Показывать всем новые подходы к решению задач

Или, это всего лишь пустая трата времени. По крайней мере, таким было мое первое впечатление от ревью кода. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/250489/#habracut

#### Введение

Сад JavaScript – коллекция документации по самым странным особенностям языка JavaScript. Тут собраны советы по тому, как избежать распространённых ошибок и малозаметных багов, а также проблем с быстродействием и неправильного стиля программирования. Это не учебник по языку. Предполагается, что вы уже предварительно знаете язык. Для обучения языку рекомендую воспользоваться этим великолепным переводом чудесной книги "[Выразительный JavaScript][1]". [Читать дальше →][2]

[1]: http://habrahabr.ru/post/240219/
[2]: http://habrahabr.ru/post/250481/#habracut

[![][1]][2] Зарубежные СМИ [опубликовали][3] информацию о проекте «аэрокосмического зонда», который может быть использован для перехвата данных радиообмена различных летательных устройств, в том числе дронов. Сегодня мы рассмотрим техническую сторону этого проекта подробнее. [Читать дальше →][4]

[1]: https://habrastorage.org/files/064/bf1/dc9/064bf1dc9ed74d7eb942027d54a91e9e.jpg
[2]: http://habrahabr.ru/company/pt/blog/267871/
[3]: http://www.wired.com/2015/09/balloon-spy-probe-deep-sweep
[4]: http://habrahabr.ru/post/267871/#habracut

![image][1] _На самом деле все происходит не так..._ _Один мой знакомый попросил меня написать эту статью. В статье пойдет рассказ о его похождениях, которые могут (могли) быть неправильно восприняты администрацией определенных интернет-ресурсов. И те, в свою очередь, могут (могли) пожаловаться на моего знакомого куда следует. Поэтому пишу статью с его слов я. А он уехал. В Гондурас. Насовсем._

## Проблема

Пару лет назад (наконец-то!) наступил в моей жизни момент, когда мне [Читать дальше →][2]

[1]: http://habrastorage.org/files/4dd/183/cad/4dd183cad32b4981960ef1da9afaa55d.jpg
[2]: http://habrahabr.ru/post/242085/#habracut

[Продолжаем перевод][1] эссе и книги Пола Грэма «Хакеры и Художники». Оригинал — [Revenge of the Nerds][2] _(кто хочет присоединиться к переводу — пишите в личку)_ _За перевод спасибо Щёкотовой Яне._ **Май 2002**

> _«Мы гонялись за С++ программистами. Нам удалось перетащить их целую кучу на полпути к Lisp.» Гай Стил, соавтор Java спецификации._

![image][3]В бизнесе программного обеспечения идет вечная борьба между вооруженными до зубов знаниями учеными, и другой, не менее грозной силой, начальниками, в арсенале которых одно сплошное невежество (\* в оригинале pointy-haired boss – персонаж серии комиксов «Дилберт» Скота Адамса, отличается необразованностью и полнейшим отсутствием базовых знаний области, которой он управляет). Все ведь знают, что это за зверь такой? Полагаю, большинство людей в мире технологий не только распознают этого карикатурного персонажа, но и знакомы с реальным человеком из своей фирмы, с которого этот образ срисован. Невежественный начальник чудесным образом сочетает в себе два качества, которые сами по себе довольно распространены, но редко, когда объединяются в одном лице: (а) он ровным счетом ничего не знает о технологиях, и (б) у него всегда есть самые твердые убеждения по любому касающемуся их вопросу. Предположим, например, Вам надо написать некоторую программу. Ваш начальник-невежда не имеет ни малейшего понятия о том, как она должна работать, и не может отличить один язык программирования от другого, и все же, он знает, на каком языке Вам следует писать эту программу. А именно, он считает, что Вам следует писать ее на Java. [Читать дальше →][4]

[1]: http://habrahabr.ru/company/tceh/blog/253311/
[2]: http://www.paulgraham.com/icad.html
[3]: https://habrastorage.org/getpro/habr/post_images/286/04d/5e6/28604d5e603d890207ecb570d4a8c6c0.jpg
[4]: http://habrahabr.ru/post/267865/#habracut

Microsoft [обновила][1] свои продукты, выпустив три обновления со статусом Critical и шесть Important. Исправлению подверглись продукты Windows, Internet Explorer, Office, и Server software, для них было исправлено 56 уязвимостей, причем в IE была исправлена 41 уязвимость ([MS15-009][2]). Это максимальное количество уязвимостей, которые были закрыты для этого браузера за последние несколько лет. Большинство из этих уязвимостей относятся к типу **Remote Code Execution** и могут быть использованы атакующими для проведения атак drive-by download. Одна из закрытых в IE уязвимостей (CVE-2015-0071) используется злоумышленниками в направленных атаках для обхода [механизма безопасности ASLR][3]. ![][4] [Читать дальше →][5]

[1]: https://technet.microsoft.com/library/security/ms15-feb
[2]: https://technet.microsoft.com/library/security/MS15-009
[3]: http://habrahabr.ru/company/eset/blog/206244/
[4]: http://habr.habrastorage.org/post_images/f1c/317/064/f1c3170644a18be60161ed0b987b6b74.jpg
[5]: http://habrahabr.ru/post/250315/#habracut

В процессорах компании Intel на смену AVX2 приходит новый набор инструкций [AVX512][1], в котором появилась концепция масочных регистров. Автор этой статьи уже несколько лет занимается разработкой версии библиотеки [Intel Integrated Performance Primitives][2], оптимизированной для AVX512, и накопил довольно большой опыт использования AVX512 инструкций с масками, который было решено объединить в одну отдельную статью, поскольку само использование таких инструкций с масками позволяет упростить и ускорить код в дополнение к ускорению от двукратного увеличения ширины регистров. [далее несколько примеров использования AVX512 инструкций с масками][3]

[1]: https://software.intel.com/en-us/isa-extensions/intel-avx
[2]: https://software.intel.com/en-us/intel-ipp
[3]: http://habrahabr.ru/post/266055/#habracut

Меня зовут Дмитрий, и я уже долгое время занимаюсь информационной безопасностью различных софтверных решений для Enterprise. В основном, это, конечно, разнообразные продукты компании SAP (можно почитать предыдущие мои посты на эту тему [тут][1], [тут][2] или [тут][3]). Сегодня же мы с вами заглянем под «капот» SAP Afaria – MDM-решения от известного немецкого софтверного гиганта. Устраивайтесь поудобнее и откидывайтесь на спинку кресла (пожалуйста, будьте аккуратнее, если вы сидите на стуле). ![][4] [Читать дальше →][5]

[1]: http://habrahabr.ru/company/dsec/blog/250335/
[2]: http://habrahabr.ru/company/dsec/blog/235203/
[3]: http://habrahabr.ru/company/dsec/blog/204148/
[4]: https://habrastorage.org/files/a3e/ea9/5b7/a3eea95b7a444a0c88d4b041f1f8021f.jpg
[5]: http://habrahabr.ru/post/267907/#habracut

Для Vim существует несколько менеджеров плагинов. Я хочу рассказать еще об одном.

### Введение

На Хабре уже были обзоры менеджеров плагинов: [раз][1], [два][2]. Рассмотрим еще один: [VIM-PLUG][3]. Данный менеджер обладает рядом интересных возможностей:

* Простота установки (код плагина содержится в единственном файле)
* Быстрые установка и обновление плагинов (если Vim собран с опцией **+ruby**)
* Поддержка ветвей и тегов
* Постобработка

В [статье][4] автор рассказывает о причинах, побудивших его написать еще один плагин. А в [это статье][5] приводит сравнение производительности плагинов. [Читать дальше →][6]

[1]: http://habrahabr.ru/post/116523/
[2]: http://habrahabr.ru/post/148549/
[3]: https://github.com/junegunn/vim-plug
[4]: http://junegunn.kr/2013/09/writing-my-own-vim-plugin-manager/
[5]: http://junegunn.kr/2014/07/vim-plugins-and-startup-time/
[6]: http://habrahabr.ru/post/250525/#habracut

Большинство проектов, описанные нами в статьях, содержат десятки предупреждений анализатора PVS-Studio. Конечно же это малая часть из отчёта анализатора, отобранная для статьи, но бывают проекты, где всех предупреждений не так много, и из них интересных «ляпов» для статьи не набирается. Обычно это маленькие или уже неразвивающиеся проекты. В этой статье я расскажу о проверке проекта Appleseed, где с точки зрения PVS-Studio код очень качественный. [Читать дальше →][1]

[1]: http://habrahabr.ru/post/267893/#habracut

Наверное, многие в России уже соскучились по хорошей, хардкорной хакерской атмосфере и докладам. Докладам, которые не просто интересно послушать, но и полезно как для защиты, так и для атаки. Но не грустите: 25-26 ноября в Москве в пятый раз состоится [конференция ZeroNights][1] ;) Часть программы уже известна, и мы рады представить вам ее. Так что добро пожаловать под кат. [Читать дальше →][2]

[1]: http://2015.zeronights.ru/
[2]: http://habrahabr.ru/post/267915/#habracut