[ХАБРААРХИВ]
«В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.сom в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена»
Взломать PayPal за 73 секунды
#хабраархив
Ещё один монитор CO2 без датчика CO2
Там, где что-то стоит дорого и по определению не может стоить дешевле, ушлые производители обязательно предложат «полноразмерный макет» за полцены. Подобными «макетами» домашних мониторов CO2 много лет забиты все маркетплейсы.
Но тут история иная. Во-первых, цена как у реальных приборов. Во-вторых, это не абсолютный ноунейм. И в-третьих — производитель открыто заверяет, что установлен дорогой инфракрасный датчик. Так почему бы не попробовать?
Вот небольшой рассказ про все эти датчики и пара советов, как не промахнуться
История YOLO — самой известной архитектуры компьютерного зрения
YOLO расшифровывается как You Only Look Once. Это широко известная архитектура компьютерного зрения, которая знаменита в том числе своим огромным количеством версий: первая из них вышла в 2016 году и решала только задачу детекции объектов на изображении, а последняя — одиннадцатая — появилась в сентябре этого года и уже представляет из себя целую фундаментальную модель, которую можно использовать для классификации, трекинга объектов на видео, задач pose estimation и т. д. Всё это — в реальном времени.
Да, за 8 лет своего существования YOLO стала своеобразным трансформером во вселенной компьютерного зрения: её любят и используют повсеместно.
Эта статья — полноценная техно-история YOLO. Поговорим о том, что представляет из себя задача детекции, как работала самая первая YOLO и как её дорабатывали во всех последующих версиях.
Домашние эксперименты с радиолампами. Часть вторая. Практика
В первой части статьи мы говорили о том, что, несмотря на достижения полупроводниковой электроники, в ряде приложений до сих пор применяются радиолампы. И мы познакомились с работой диода, триода, тетрода и пентода. Теперь настало время экспериментов. Будем снимать анодно-сеточную характеристику триода, соберём электромер и простой двухламповый усилитель низкой частоты на стержневых лампах.
Не нажимайте эту кнопку: почему макросы Office всё ещё опасны
В 1993 году вышел Excel 5.0 — первый продукт Microsoft, поддерживающий макросы на языке Visual Basic for Applications. Это событие стало настоящей революцией для офисных клерков: сотрудники, не обладавшие специальными знаниями в программировании, вдруг получили мощный инструмент для автоматизации монотонных офисных задач, которые прежде отнимали уйму времени.
Однако макросы пришлись по душе не только работникам офисов. Всего спустя два года появился Concept — первый вирус, который эксплуатировал возможности макросов для кибератак. С тех пор макросы Microsoft Office стали излюбленным способом проникновения в корпоративную сеть у хакеров. Даже сегодня многие успешные атаки на компании начинаются с отправки фишингового письма с документом, который заражен вредоносным макросом.
Разберём механизмы работы макросов и на конкретных примерах посмотрим, как злоумышленники обходят средства защиты, которые Microsoft совершенствует уже четверть века. Отдельно поговорим про методы социальной инженерии, превращающие макросы в настоящее кибероружие в руках злодеев.
Cloud-native подход при работе с Ceph: как перестать бояться и начать деплоить
Игорь Шишкин, руководитель R&D-направления облачных сервисов Рег.ру, рассказывает, как в компании выбирали SDS (Software Defined Storage), как устроена конфигурация в самом Ceph, а также как происходит тестирование решений на базе Ceph и доставка конфигурации до production-окружений.
Работа с хорошими зарплатами.
Инженер по информационной безопасности в Wanted. Москва. До 2 600 000 ₽.
JavaScript fullstack в OnClass. Можно удаленно. 2000 — 7000 $.
Fullstack developer в Fundraise Up. Можно удаленно. 3800 — 6500 $.
Python developer/data scientist в Freuders. Можно удаленно. От 5500 $.
Старший серверный разработчик в SlideSpiel. Можно удаленно. 4000 — 5500 $.
Больше вакансий
#highest_salary
Важные вопросы про патенты для айтишников, ответы на которые лучше знать
Патентное право в России — почти везде. И в этом деле нет мелочей, как, собственно, во всех вопросах связанных с защитой интеллектуальной деятельности.
В этой статье вы найдёте ответы на самые распространённые вопросы, которые возникают у людей, когда они слышат это популярное, но загадочное слово «патент».
Кстати, в комментариях к статье вы можете задавать свои — авторы семи лучших будут награждены призами!
История Ctrl + Alt + Del: почему для гениальной комбинации не придумали отдельную кнопку
Ctrl + Alt + Del — это поистине гениальная комбинация в Windows. Даже если все программы зависли, при нажатии трёх кнопок одновременно появляется служебное окно. В нём можно заблокировать сеанс, сменить пользователя, выйти из системы, изменить пароль или запустить «Диспетчер задач». А ведь сочетание клавиш могло быть совсем другим и выполнять всего одну задачу. Давайте взглянем на его эволюцию.
«101 компьютерная игра на Бейсике»: обзор старой книжки
Давным‑давно, чуть больше 50 лет назад вышла книга «101 BASIC Computer Games» — она стала первой книгой на компьютерную тематику, тираж которой перевалил за миллион экземпляров. Нужно понимать: это был 1973 год, до появления домашних компьютеров типа Apple II или ZX80 ещё оставалось лет пять, так что книжка предназначалась студентам и сотрудникам учреждений где были установлены «миникомпьютеры» — девайсы размером с несколько домашних холодильников, но нередко уже многопользовательские, с подключёнными телепринтерами в качестве рабочих мест. Сам BASIC ещё не разменял первый десяток лет. Программы предлагалось перепечатать вручную — тем не менее это издание сразу стало популярным.
В этой статье мы взглянем поближе, что же за «игры» там были
📺 13 декабря Хабр будет вести прямую трансляцию международной конференции AI Journey.
Приглашаем разработчиков, представителей науки и бизнеса, а также всех, кому интересны новые технологии, в захватывающее путешествие в мир искусственного интеллекта в компании ведущих мировых экспертов!
📆 Мероприятие будет проходить по трём ключевым направлениям:
11 декабря. Общество: как AI помогает каждому из нас и нашей планете.
12 декабря. Бизнес: как технологии AI наделяют бизнес новыми возможностями.
13 декабря. Наука: последние достижения научного сообщества в AI.
Erid: 2VSb5xxRDHa, ПАО Сбербанк, ИНН 7707083893Читать полностью…
👻 Добро пожаловать в самую необычную ночную смену в вашей карьере!
Загадочные сбои, необъяснимые звуки из серверной и мистические инциденты — всё это ждёт вас в дата-центре после заката. Сможете ли вы пережить эту мистическую ночь и сохранить SLA?
Сыграйте за сервисного инженера, диагноста или инженера мониторинга — и погрузитесь в захватывающие технические квесты 👈
За прохождение испытаний без единой ошибки дадим эксклюзивную ачивку на Хабре, и пусть все обзавидуются!
Двойной юбилей: серия, изменившая жанр дважды
Звёзды сложились так, что в этом году у двух культовых игр серии Need For Speed юбилеи: оригинальной NFS — 30 лет, Underground 2 — 20. Их судьбы абсолютно разные, концептуально — это разные игры с разной атмосферой. Поговорим о том, как серия кардинально поменяла геймплей и стилистику, и какой незримой нитью связаны абсолютно разные игры.
«Привет, Хабр! В свободное от работы время я занимаюсь разработкой своего проекта. На днях мне понадобилось разработать раздел с календарем и задачами, чтобы пользователи могли отслеживать свою деятельность. Увы, но полностью готовых решений я не нашёл. API стандартного календаря Google не подходит, так как данные хочу хранить внутри контура проекта.
Спустя несколько часов поисков я наткнулся на плейлист разработчиков из Индии. В жизни всё циклично — именно эти видео мне и помогли. Так я познакомился с классной опенсорс-библиотекой FullCalendar, о которой расскажу в этой статье»
Как написать Google Calendar на коленке? Обзор FullCallendar
⚡ Новости к этому часу
👏 OpenAI Canvas теперь доступен всем пользователям и может запускать код в браузере
🤦♂️ В Австралии учёные потеряли 323 образца опасных вирусов
💳 «Сбер» представил умное кольцо Sber Smart Ring с нейросетевой моделью GigaChat Max
📦 Клиенты «Почты Global» ждут посылки из-за рубежа по несколько месяцев
💰 Илон Маск стал первым человеком в истории, чьё состояние превысило $400 млрд (ФОТО)
🏆 Apple подвела итоги ежегодной премии App Store Award
📱 Google открыла для чат-бота Gemini возможность «рассуждать» над исследовательскими задачами
#новости
Конфеты врачам — это форма коррупции?
Возможно, вы знаете, что врачам-женщинам как-то традиционно принято дарить конфеты, а урологам и хирургам (обычно мужчинам) — коньяк. Но как конкретно работает эта система, какой там этикет, нужно ли приносить подарок до, после или во время лечения — непонятно.
Давайте разберём эту практику в российской системе здравоохранения
Небезопасная десериализация в PHP: как создать собственный эксплойт
Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
Квантовый чип Willow от Google: много маркетинга и мало правды
СМИ взорвали новости о появлении самого быстрого компьютера в мире. Он за пять минут смог решить задачу, которую классический ПК решал бы миллиард лет. Давайте посмотрим, на чём эти и другие громкие заявления основаны и есть ли хоть какие-то подтверждения прорыва в этом очень-очень дорогом проекте.
Горькая правда о программировании с использованием ИИ
ИИ скорее дополняет скилы опытных специалистов, чем делает разработку доступной для всех. Новичкам же важно воспринимать ИИ как инструмент обучения, но никак не замену знаниям и опыту.
«Несколько дней назад я обновлял сеть своей домашней лаборатории и решил обновить OpenWrt роутера. Подключившись к LuCI (веб-интерфейсу OpenWrt), я заметил раздел Attended Sysupgrade и попробовал обновить прошивку с его помощью.
В описании говорилось, что он собирает новую прошивку при помощи онлайн-сервиса.
Мне стало любопытно, как это работает, так что я приступил к исследованиям»
Прошивки OpenWrt: атака на цепочку поставок
⚡ Новости к этому часу
🚕 «Яндекс» начнёт показывать очередь на такси
📚 Гарвард при поддержке Microsoft собрал открытый дата-сет из ~500 000 книг, но Google не дает его опубликовать
🖥 YouTube запустил автоматический дубляж для сотни тысяч каналов
🤷♂️ Инициатива о регулировании видеоигр вызывает серьёзные вопросы у профессионального сообщества
📱 Google Play прекращает все финансовые отношения с российскими разработчиками
🐈 Генетики разобрались, как появляются рыжие коты
👏 CD Projekt Red анонсировала «Ведьмака 4» (ФОТО)
👮♂️ Полиция закрыла рынок киберпреступности Rydox, арестованы три админа площадки
🆕 Adobe представила инструмент для устранения некрасивых отражений окон на фотографиях
#новости
«В ноябре 2024 года пользователь RisingFromRuins с форума Sonic Retro заявил, что перебирая кучу PC-оборудования, купленного в этом году, нашёл CD игрового образа Sega Channel за сентябрь 1996 года. Он опубликовал фотографии CD и загрузил копию файла игрового образа с диска. Я подумал, что будет любопытно проверить, смогу ли извлечь данные из файла и посмотреть, есть ли там какие-то эксклюзивные игры или прототипы. Всегда интересно увидеть игры, в которые никто не мог поиграть более двадцати пяти лет»
Реверс-инжиниринг формата данных кабельного канала Sega
Советский одноплатник: уникальная ЭВМ «Электроника С5»
Технологический прогресс не знает компромиссов. Считается, что эпоха мейнфреймов и громоздких «промышленных» компьютеров размером с сарай окончательно завершилась с появлением высокопроизводительных одноплатников, ставших не только инструментом для энтузиастов, но и основой для разработки сложных инженерных и образовательных систем. Однако проекты компактных микро-ЭВМ, собранных на одной печатной плате, разрабатывались ещё в конце 70-х. Например, в СССР существовал проект одноплатных микро-ЭВМ «Электроника С5», которые можно назвать предками современных Raspberry Pi, Arduino, BeagleBone и их аналогов.
Неизбежное будущее Kubernetes: почему оркестратор должен пойти по пути Linux Kernel
Сейчас Kubernetes воспринимается как «готовое» и самодостаточное ПО — грубо говоря, как отдельная программа. Да, чтобы его использовать в проде, придётся добавить к нему разных инструментов cloud native: CNI, service mesh и т. п. Однако всё же K8s выглядит именно как приложение (иногда его даже называют ОС для облаков).
Такое понимание Kubernetes заводит рынок в тупик. Очевидно, что сложность оркестратора должна расти, очевидно, что будет всё больше сфер, в которых он будет использоваться и которые способны извлечь немало пользы из внедрения K8s. Если рынок не начнёт смотреть на Kubernetes как на Linux Kernel, это заведёт нас в тупик, и вот почему.
Дегустируем Rspack
Эпоха, когда во фронтенд‑экосистеме раз в неделю появлялся новый JS‑фреймворк, канула в Лету. На дворе 2024-й, теперь раз в неделю появляется новый бандлер, причём зачастую написанный именно на Rust (например, Turbopack, Rolldown, Farm и Mako от китайских товарищей). В этой статье мы опробуем в действии наиболее многообещающий из них — Rspack. В качестве подопытного кролика возьмём не очередной Hello World, специально заточенный под бенчмарки, а реальный сложный проект.
Вызов полиции, обход бота и борьба с контрафактом: пять решений нестандартных проблем на Ozon
При работе на Ozon возникла проблема, которая не решается простым обращением в поддержку? Карточку товара заблокировали, партия пропала, конкуренты торгуют под вашим брендом? Теряете выручку и нервные клетки? Обсудим в формате мини-кейсов решение пяти серьёзных проблем.
10 декабря 2024 года организаторы природной фотопремии Comedy Wildlife Photography Awards 2024 объявили победителя в общем зачёте и лауреатов по отдельным номинациям из самых смешных фотографий животного мира и природы.
«Белка, застрявшая в дупле» в парке Podere Pantaleone в Баньякавалло (Равенна, Италия) стала основным победителем Comedy Wildlife Photography Awards 2024. Её сфотографировал 10-летний британец Флинн Тайтанунде-Лобб.
Почему вам не нужно расшифровывать свой геном
Если верить новостям, в ближайшем будущем генетики победят неизлечимые заболевания и найдут рецепт молодости, а каждый человек сможет отредактировать свою ДНК и исправить ошибки природы. Уже сейчас многие лаборатории предлагают всем желающим расшифровать геном и экзом. Кажется, что, сдав такие анализы, можно понять всё о своём организме: узнать скрытые таланты, предрасположенности, риски. Но, к сожалению, это так не работает.
В этой статье Вера Морозова, медицинский редактор Лаборатории «Гемотест», расскажет, что на самом деле можно узнать из генетических тестов, как именно делают расшифровку экзома и почему этот анализ не нужно сдавать здоровым людям.
Все мои Ардуинки. Часть третья. ESP8266 и ESP32
И снова, уже в третий раз, вашему вниманию предлагается коробочка с Ардуинками. На этот раз будем извлекать из неё и рассматривать под светом допросной лампы платы на микроконтроллерах ESP8266 и ESP32. Также изучим краткую историю появления этих контроллеров, некоторые их особенности и роль в экосистеме Arduino.