НовостиРазработка и Программирование

Исследователи приблизили коллизионные атаки на SHA-1 к реальности

Алгоритм хеширования SHA-1 считается ненадежным и «сломанным» еще с 2005 года: именно тогда эксперты заговорили о потенциальной возможности взлома SHA-1 через коллизионную атаку, что в теории давало злоумышленникам возможность создать поддельный файл, с точно таким же SHA-1 хешем, как у настоящей версии файла. За прошедшие годы специалисты не раз пытались подступиться к той проблеме с …
НовостиРазработка и Программирование

Мировой рейтинг языков программирования на апрель 2019

Что такое индекс TIOBE Индекс TIOBE Programming Community показывает популярность языков программирования на мировом уровне. Его с 2001 года составляют аналитики из голландской компании TIOBE Software и обновляют каждый месяц. Данные основывают на количестве запросов в Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube и Baidu, на количестве обучающих курсов по этим языкам и квалифицированных специалистов. Индекс …
НовостиРазработка и Программирование

АНБ открыло исходные коды инструмента Ghidra, предназначенного для реверса

На конференции RSA представители Агентства национальной безопасности США объявили об открытии исходных кодов Ghidra – инструмента для обратного инжиниринга, который сами спецслужбы применяют уже порядка 20 лет. Напомню, что широкая общественность узнала о Ghidra в 2017 году, благодаря документам Vault7, опубликованным WikiLeaks. Впрочем, до этого факт существования Ghidra тоже не был засекречен. В настоящее время …
НовостиРазработка и Программирование

Атака шифровальщика на израильских пользователей провалилась из-за ошибки в коде

Эксперты компании CyberArk рассказали о неудачной атаке на израильских пользователей, произошедшей в минувшие выходные. По данным специалистов, злоумышленники действовали из Палестины и сопровождали свою кампанию хештегом #OpJerusalem. 2 марта 2019 года атакующие успешно «отравили» DNS популярного веб-сервиса Nagich, чьим виджетом для людей с ограниченными возможностями пользуются администраторы тысяч израильских сайтов. Атака на Nagich привела к …
НовостиРазработка и Программирование

Apple побуждает разработчиков использовать двухфакторную аутентификацию

Компания Apple оповестила разработчиков (участников программы Apple Developer), что до 27 февраля 2019 года им стоит настроить двухфакторную аутентификацию (2ФА), если они еще этого не сделали. В противном случае разработчики могут лишиться доступа к аккаунту и Certificates, Identifiers & Profiles, то есть к разделу, где происходит управление сертификацией приложений. В послании компании сказано, что двухфакторная …
НовостиРазработка и Программирование

Мировой рейтинг языков программирования на февраль 2019

Компания TIOBE Software с 2001 года собирает информацию о популярности языков программирования в разных странах и формирует ежемесячные рейтинги. Данные основаны на количестве курсов, мнениях опытных программистов и запросах в Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube и Baidu. Зачем нужно смотреть рейтинг языков программирования Топ-100 от TIOBE помогает программистам и веб-мастерам ориентироваться в повестке разработки, …
НовостиРазработка и Программирование

Проблемы с десериализацией добрались до Ruby

Java, .NET и PHP Изначально разработчики приложений Java столкнулись с уязвимостью, замеченной в 2015 году исследователями FoxGlove Security. Тогда специалисты нашли баг в широко распространенной библиотеке из состава Apache Commons. Уже в 2016 году, стараниями аналитиков SourceClear, удалось понять, что проблема гораздо обширнее, чем предположили изначально. Как оказалось, уязвимость, связанная с тем, как Java исполняет user-defined код во …
НовостиРазработка и Программирование

В репозитории PyPI нашли более десятка вредоносных библиотек

Независимый специалист по информационной безопасности, скрывающийся под псевдонимом Bertus, обнаружил в репозитории PyPI (Python Package Index) 12 вредоносных библиотек, судя по всему, созданных одними и теми же авторами. Первую партию малвари исследователь нашел 13 октября, вторую 21 октября. В настоящее время все проблемные библиотеки уже исключены из репозитория. Почти все обнаруженные библиотеки были построены по похожей …
НовостиРазработка и Программирование

Критическая уязвимость исправлена в Packagist

Разработчики крупнейшего репозитория пакетов PHP, Packagist, сообщили об исправлении критической уязвимости на официальном сайте сервиса. За обнаружение бага инженеры благодарят специалиста по информационной безопасности Макса Ютича (Max Justicz). Нужно сказать, что Packagist —это не пакетный менеджер, но хостинг PHP-пакетов. Это дефолтный хостинг Composer, наиболее популярного пакетного менеджера PHP, и крупнейший хостинговый сервис в экосистеме PHP в …
НовостиРазработка и Программирование

На GitHub был опубликован украденный исходный код инструмента DexGuard

Стало известно, что на прошлой неделе с GitHub был спешно удален исходный код популярного инструмента DexGuard, которое разрабатывает компания Guardsquare. Это решение является платным аналогом Proguard (распространяется под лицензией GPL) и используется для обфускации и защиты Android-приложений от обратного инжиниринга и взлома. DexGuard применяется разработчиками для защиты от взлома и клонирования приложений (порой это связано …
НовостиРазработка и Программирование

Исследователи предложили добавлять баги в софт для повышения его безопасности

Специалисты из Нью-Йоркского университета опубликовали интересное исследование, согласно которому, вместе с увеличением количества багов в коде растет и безопасность продукта. Как бы парадоксально это ни звучало, в теории специалистов есть смысл. cs researcher: we need to figure out ways to write safer code with fewer bugs so it can be exploited less often. Hu et. …
НовостиРазработка и Программирование

GitHub будет следить за безопасностью проектов на Python

Разработчики GitHub сообщили, что Python пополнил список языков программирования, для которых осуществляется автоматический поиск уязвимостей. Напомню, что новый защитный механизм был представлен еще в прошлом году. Он призван призван сократить количество уязвимых проектов и их дальнейшее распространение на платформе. Новая функция не получила какого-то особенного названия и является частью Dependency Graph. Секцию Dependency Graph можно …
НовостиРазработка и Программирование

Рейтинг языков программирования: топ-100 за июнь 2018 (перевод)

Рейтинг TIOBE отражает популярность языков программирования, обновляется раз в месяц, основывается на мнениях опытных программистов из разных стран и данных поисковых систем Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube и Baidu. Он не показывает, какой язык программирования лучше или на каком было написано больше всего строчек кода, а говорит только о популярности.   Как считаются показатели …
НовостиРазработка и Программирование

Новый глава GitHub рассказал, чего ждать после слияния с Microsoft

Как стало известно в начале текущей недели, компания Microsoft покупает крупнейший хостинг репозиториев GitHub за 7,5 млрд долларов. Многих пользователей грядущая сделка не на шутку встревожила, после чего в сети появились петиции против слияния, а операторы GitLab, BitBucket и SourceForge сообщили о значительном приросте трафика, — разработчики тысячами перемещают свои проекты на другие хостинги. Представители …
НовостиРазработка и Программирование

Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности

Специалисты ThreatPress обнаружили, что десять e-commerce плагинов производства компании Multidots содержат уязвимости и представляют опасность для пользователей. Ранее все плагины были доступны для скачивания через официальный репозиторий WordPress.org и предназначались для пользователей платформы WooCommerce. Суммарно уязвимые решения насчитывали около 20 000 активных установок (в том числе 10 000 установок у плагина Page Visit Counter, 3000 установок …
НовостиРазработка и Программирование

Microsoft собирается приобрести GitHub, а GitLab на этом фоне переживает прирост трафика

В минувшие выходные издание Bloomberg, со ссылкой на собственные источники, сообщило, что компания Microsoft намеревается в ближайшее время приобрести GitHub. Источники журналистов уверяют, что сделка – уже фактически решенное дело, о чем официально объявят в начале текущей недели. Также сообщается, что владельцы GitHub сами выбрали Microsoft на роль покупателя, причем отчасти из-за главы компании, которым …
НовостиРазработка и Программирование

Oracle прекратит поддержку сериализации Java, называя ее «ужасной ошибкой»

Стало известно, что разработчики Oracle намерены отказаться от поддержки функциональности сериализации и десериализации данных в языке Java. Об этом рассказал главный архитектор платформы Java Марк Рейнхолд (Mark Reinhold). В ходе беседы с журналистами InfoWorld, Рейнхолд и вовсе назвал добавление поддержки сериализации в Java  в 1997 году «ужасной ошибкой». По его мнению, больше трети всех уязвимостей …
НовостиРазработка и Программирование

Представлена бета-версия Datalore, умной веб-среды для анализа и визуализации данных на языке Python

Компания JetBrains анонсировала бета-версию приложения Datalore, созданного для анализа данных на Python. Datalore имеет сразу ряд преимуществ перед известными опенсорсными решениями для задач машинного обучения (к примеру, Jupiter Notebook): все необходимые инструменты data science здесь доступны сразу «из коробки», а умный редактор кода на Python облегчает процесс анализа данных. Ниже перечислим некоторые из основных особенностей …
НовостиРазработка и Программирование

GitHub предупредит разработчиков об уязвимостях в их проектах

Крупнейшая площадка для размещения репозиториев в сети, GitHub, представила новую защитную функцию для своих пользователей. В теории новый механизм призван сократить количество уязвимых проектов и их дальнейшее распространение на платформе. Новая функция не получила какого-то особенного названия и является частью Dependency Graph. Напомню, что секцию Dependency Graph можно найти во вкладке Insights. Там, в формате …
Разработка и Программирование

WWW: jq — процессор JSON, который позволяет одной строкой фильтровать и трансформировать данные

Каждый, кто работал с JSON, знает, насколько этот формат проще и удобнее, чем XML, но при этом гибче, чем, например, CSV. Утилита под названием jq — отличный инструмент, который выводит работу JSON на принципиально новый уровень: с ней, чтобы перебрать массив данных, не нужно писать никаких скриптов — хватит запроса наподобие SQL. Для установки jq …
НовостиРазработка и Программирование

Владельцы WordPress закрывают офис из-за неявки сотрудников

Бесплатную платформу для управления контентом WordPress, которая является одной из самых популярных в мире, используют многие отечественные вебмастера для реализации самых разных проектов – от простого блога до продвинутого интернет-магазина. Вряд ли их обрадует новость о том, что владельцы WordPress закрывают офис из-за неявки сотрудников. Остается лишь надеяться, что это никак не отразится на качестве …