243
Все подряд публикации с habr.com
ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — рост числа эксплойтов и атак с использованием уязвимостей нулевого дня в I квартале 2025 года, скрытая кампания с бэкдором в маршрутизаторах ASUS, уязвимость в Safari, новые загрузчики Silent Werewolf в атаках на организации в России и Молдове, мошенничество с поддельными счетами на покупку Microsoft 365.
Технологический партнёр «Ростеха» создал ИИ‑систему по выявлению нарушителей на самокатах
Компания NtechLab (технологический партнёр Госкорпорации «Ростех») представила новое решение на конференции ЦИПР. Решение разработано на основе искусственного интеллекта. По словам разработчиков, новая система предназначена для контроля за поведением водителей самокатов. Цель — снизить число ДТП и повысить культуру езды.
Отпечатки прошлого: F6 исследовала новые и ранее неизвестные активности группы PhantomCore
Эксперты департамента киберразведки компании F6 представили итоги исследования, посвящённого новым атакам группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году. Специалисты F6 выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
PhantomCore – группировка, атакующая российские и белорусские компании. Впервые специалисты F6 обнаружили её в 2024 году. Отличительная черта PhantomCore – использование вредоносного программного обеспечения (ВПО) собственной разработки.
Как я зарабатываю 17 млн в год на диванах на маркетплейсах
Я всегда боялся показывать внутрянку. Поэтому не ходил на конференции, не давал интервью. Не хотел выпускать эту статью, но маркетолог меня убедила, что надо. Посмотрим, к чему это приведет.
Пакет PHP Views — простая шаблонизация проекта с Blade и моделями
Большинство PHP фреймворков имеет свои решения для шаблонов, но существует огромное количество PHP проектов, включая CMS вроде WordPress, где коробочные решения отсутствуют.
Обычные PHP шаблоны довольно многословны и подвержены ошибкам. PHP Views призван сделать работу с шаблонами в чистом PHP более простой, гибкой и надежной.
ОТП Банк — победитель Data Award 2025 в номинации «За качество данных»
ОТП Банк стал лауреатом премии Data Award 2025, получив награду в номинации «За качество данных». Жюри высоко оценило успешную реализацию процессов Data Governance, которые стали важной частью корпоративной культуры ОТП Банка.
Для ОТП Банка победа в престижной номинации подтверждает эффективность выбранной стратегии управления данными. Внедрение принципов Data Governance позволило кредитной организации достичь значимых результатов, существенно повысить качество и надежность данных, оптимизировать процессы аналитики и принятия решений;
Data Award — первая и единственная в России премия, отмечающая достижения компаний и руководителей в сфере работы с данными. Организаторы подчеркивают, что ведущие ИТ-компании активно поддерживают эту инициативу, способствуя продвижению передовых практик. В 2025 году премия расширила географию, включив участников из стран СНГ, а также ввела три специальные номинации. По словам представителей организатора —…
Соединение SortMergeJoin в Apache Spark
Рассмотрим, как реализован SortMergeJoin в Apache Spark, и заодно заглянем в исходный код на GitHub. Spark написан на языке Scala, и вся логика работы оператора доступна в открытом репозитории проекта. Вот здесь :)
Первое, что рассмотрим - это конструктор кейс-класса
1. Конструктор SortMergeJoinExec
Особенности разработки расширений для прохождения аудита 1С: Фреш, или как успешно пройти аудит
Представленная статья посвящена некоторым особенностям и нюансам разработки доп. расширений для публикации в 1С:Фреш. Надеюсь, кому-то из читателей информация в статье будет полезна и сэкономит время на прохождение аудита при публикации своего решения во Фреше.
ОС реального времени в эмуляторе Mario, или Как устроены потоки
В своём предыдущем посте о потоках я привёл импровизированное сравнение1:
Потоки2 — это просто состояния сохранения3 эмулятора4, связанные с условием, при котором продолжается их выполнение.
В тот момент я подумал, что это неплохая аналогия, но не мог перестать размышлять о ней. Я какое-то время крутил её в голове. Мне кажется, что у этой аналогии есть серьёзный потенциал в качестве инструмента обучения.
Поэтому я добавил многопоточность в Super Mario Bros. для NES.
Google Project Management: Professional Certificate, все самое главное из курса для начинающих, часть 4
Недавно я завершила обучение на курсе от Google по программе Управление проектами Поэтому я решила подготовить цикл из шести статей, в которых постараюсь передать ключевые идеи курса для русскоязычной аудитории.
Курс состоит из шести разделов, и каждая статья будет охватывать один раздел. Вот их список:
Яндекс.Браузер получит «Алису» с функционалом ИИ-агента
«Яндекс» внедрит в голосового помощника «Алису» в своем браузере навыки ИИ-агента. Компания планирует сделать новый функционал доступным в бета-версии браузера летом, рассказал РБК представитель «Яндекса».
МТС в Антарктиде: как команда инженеров покоряла шестой континент и обеспечивала связью полярников
Привет, Хабр! Меня зовут Алексей Верховский, я ведущий инженер в техническом блоке МТС. В середине 2019 года я вместе с коллегами начал планировать техническое решение и готовить оборудование для строительства базовой станции (БС) на южном континенте. Это совместный проект МТС с Арктическим и антарктическим научно-исследовательским институтом (ААНИИ).
К концу 2019-го я впервые отправился в Антарктиду: попал в 65-ю Российскую антарктическую экспедицию (РАЭ). На полярной станции «Прогресс» 1 января 2020-го мы запустили первую российскую БС в Антарктиде.
Затем, преодолевая коронавирусные и логистические трудности, МТС несколько сезонов запускала БС на полярных ст. «Беллинсгаузен» и «Новолазаревская», на аэродроме ст. «Новолазаревская», а также запускала NB-IoT и включала femto на старой станции «Восток». Одновременно на Востоке полным ходом шло строительство Нового зимовочного комплекса (НЗК).
В начале 2024-го…
Минцифры: подтвердите официально свои знания в ИТ по Python, Java, SQL, C#, PHP, HTML, ООП и PostgreSQL, а также Linux
Минцифры открыло доступ к системе сертификации IT‑специалистов на «Госуслугах» по Python, Java, SQL, C#, PHP, HTML, ООП и PostgreSQL, а также Linux
Опубликованы итоги форсайт-сессии «Будущее безопасности киберфизических систем в России»
Опубликованы результаты форсайт-сессии «Будущее безопасности киберфизических систем в России. Перспективы и векторы развития». В мероприятии приняли участие эксперты из МЭИ, Лаборатории Касперского, Ассоциации Интернета вещей, НИИМЭ, компаний «Специальная интеграция», «АНКАД», «ИнфоТеКС», «ЭнергоЦИБ», «С Терра СиЭсПи», «Zelax», АЭТП, «Майсимтех», НТУ «Сириус» и ИКТИБ ЮФУ.
В новости выделили основные выводы и там же ссылка на полный отчет.
Asus вслед за Microsoft призывает как можно скорее отказаться от Windows 10 в пользу Windows 11
Тайваньская компания-производитель компьютерной электроники Asus вслед за Microsoft сообщила о необходимости перехода с Windows 10 на Windows 11.
Настройка location в Angie. Разделение динамических и статических запросов
В этой статье погрузимся в основы конфигурации веб‑сервера Angie — директиву location. Она используется во всех конфигурациях при работе с HTTP‑модулем и отвечает за разделение настроек обработки запросов по URL. В том числе, с помощью location происходит разделение запросов на статические и динамические. Начнём с последнего: разберёмся, что такое динамические и статические запросы.
Чек-лист по оптимизации, с которым мы вышли в зелёную зону
Привет! Меня зовут Андреева Саша, я веб-разработчик в компании iSpring. Два года назад мы столкнулись с тем, что всё больше и больше страниц нашего ведущего сайта начали падать в выдаче, а рост органического трафика заметно уменьшился. Основной причиной было то, что просели показатели сайта — мы постоянно обновляли страницы, но не уделяли должное внимание оптимизации. Мы проанализировали показатели, выбрали инструмент для отслеживания данных по всем страницам, в нём же настроили алерты и взялись за активную работу по оптимизации.
Перед вами рабочий чек-лист, в нём собраны основные наработки и советы по оптимизации, которые мы реализовали и продолжаем применять. Если вы работаете с CMS, то помимо перечисленных, есть дополнительные способы улучшить показатели — спрашивайте в комментариях :)
Alfa Analyze IT Meetup #4
19 июня наше SA-сообщество проведёт четвёртый Alfa Analyze IT Meetup — поговорим о том, как оценивать навыки по матрицам компетенций, принимать решения о повышении и адаптироваться к изменениям от ИИ.
Взаимодействие дискаверинга и управления активами: как обеспечить отказоустойчивость и порядок в ИТ-инфраструктуре
Автоматизация процессов учета в ИТ-департаменте позволяет наладить получение необходимой информации и дает возможность получать полное представление об ИТ-инфраструктуре организации. Зачастую организации используют такие решения, как системы дискаверинга, а также системы по управлению активами.
В статье рассказываем, как эти решения дополняют друг друга, чем различаются традиционные подходы к учету оборудования и как новая функциональность SimpleOne ITAM позволяет синхронизировать данные между этими системами для обеспечения полноценного контроля над ИТ-инфраструктурой.
«Ростелеком» представил на ЦИПР систему управления цифровой средой автомобиля «Аврора Автомобильная»
«Ростелеком» показал работу операционной системы «Аврора Автомобильная» на конференции ЦИПР. Решение создано на базе ОС «Аврора». разрабатываемой компанией «Открытая мобильная платформа» (ОМП,входит в группу «Ростелеком»). Об этом информационной службе Хабра рассказали в пресс‑службе ОМП.
Angular 20: Большое обновление для современного веба
Angular 20 — это мощное обновление, которое делает разработку веб-приложений быстрее, удобнее и современнее. Новые возможности шаблонов, стабильные сигналы, поддержка zoneless режима и интеграция с AI позволяют создавать высокопроизводительные приложения с минимальными усилиями. В этой статье разберём ключевые нововведения Angular 20 и покажем, как их использовать в ваших проектах.
«Билайн» и Yadro показали работу отечественной базовой станции на ЦИПР-2025
«Билайн» и компания Yadro (входит в «ИКС Холдинг») провели демонстрацию телекоммуникационного оборудования российского производства на выставке ЦИПР. Это базовая станция Yadro BTS8100. Во время демонстрации прошли голосовые звонки по технологии GSM. Также показали передачу данных по LTE. Для этого использовали обычные абонентские устройства, включая планшеты Kvadra_T (собственный бренд Yadro).
Топ самых интересных CVE за май 2025 года
Всем привет! Подводим итоги мая по линии самых интересных CVE. Последний весенний месяц выдался жарким: десяточку по CVSS выбили контроллеры Cisco с захардкоженным веб-токеном и Azure DevOps Server на повышение привилегий до System.
Критическими уязвимостями также отметились MagicINFO 9 Server от Samsung, продукты от Fortinet с нулевым днём под RCE и очередной плагин для WordPress — OttoKit. Отдельный приз уходит ASUS DriverHub — RCE от ASUS прямиком в BIOS материнок компании. Microsoft в прошлом месяце исправила пять активно эксплуатируемых нулевых дней, а в SysAid закрыли уязвимости под RCE и на доступ к локальным файлам, включая InitAccount.cmd. Об этом и других ключевых CVE мая читайте под катом!
Первое горячее предложение лета: орбитальная скидка 30% при заказе сервера и шанс выиграть Galaxy Z Fold6
Соскучились по скидкам и подаркам? Мы тоже. А потому RUVDS объявляет начало выгодного летнего сезона открытым!
Как вам известно, два года назад мы запустили первый сервер-спутник в космос, а сейчас готовим новый старт. В честь предстоящего запуска второго спутника мы объявляем орбитальную скидку минус 30% при аренде сервера на год. Топливо залито, таймер обратного отсчёта запущен: время активировать предложение есть до 30 июня.
Mockoon vs Charles Proxy: битва за сердца QA
Современная разработка программного обеспечения все больше опирается на распределенные системы и микросервисы, что требует надежных методов обеспечения качества для проверки интеграции API и поведения сети.
Такие инструменты, как Mockoon (платформа имитации API с открытым исходным кодом) и Charles Proxy (HTTP-прокси), решают эти задачи, но обслуживают различные фазы жизненного цикла обеспечения качества.
Пришло время разобраться: что лучше — Mockoon или Charles Proxy?
Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3
Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными.
В своих предыдущих статьях (здесь и здесь) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода.
Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).
Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3
Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными.
В своих предыдущих статьях (здесь и здесь) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода.
Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).
Spark on Kubernetes: наш путь к автоматизации через кастомный оператор Airflow
Всем привет! Меня зовут Дмитрий Третьяков, я ML Engineer в компании «Лента». Мы регулярно запускаем PySpark-приложения в Kubernetes-кластере, используя Airflow. Этот процесс важен для нашей ежедневной работы с данными, но в какой-то момент мы столкнулись с тем, что стандартный подход через SparkKubernetesOperator стал сдерживать развитие: не хватало гибкости, возникали сложности в сопровождении и процесс настройки был излишне сложным для разработчиков.
Какую архитектуру данных мне выбрать? — Подход Data-инженера. Часть 2
Какую архитектуру данных выбрать, когда на горизонте — Data Warehouse, Data Lake, Lakehouse и Mesh, а проект требует гибкости, отчетности и масштабируемости? В этой статье — практический разбор подходов с позиций data-инженера. Рассматриваем плюсы и ограничения каждого варианта, углубляемся в архитектуры Инмона, Кимбалла, Data Vault и медальонную модель, а также разбираемся, где граница между аналитическими целями и технической реализацией.
Размышления после подкаста «Employment Is Changing Forever» о будущем занятости
Почитал транскрипт подкаста HBR IdeaCast с автором книги Employment Is Dead: How Disruptive Technologies Are Revolutionizing the Way We Work. Как можно догадаться из названия книги, подкаст была о том, как технологии (ИИ, Web3, DAO) трансформируют рынок труда и какое место в этом новом мире займёт классическая занятость.
Нужно понимать, что речь идёт о том, как всё это выглядит сейчас на западе, поэтому многое из сказанного ниже для человека на русскоязычном пространстве будет звучать достаточно бредово, однако всё и все в мире взаимосвязаны, так что будет как минимум не лишним посмотреть, "а как там у них".
Итак, делюсь кратким пересказом ключевых тезисов, а затем — своими размышлениями как человека, работающего внутри IT и HR Tech и наблюдающего трансформацию воочию.