Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q
Лана поделится с нами своей историей о том, как после путешествий и жизни в Китае решила заниматься видеосъемкой и ютубом.
Мы обсудим такие вещи как «синдром самозванца», перфекционизм, потребность в признании, как справляться с критикой своего творчества, светлые и темные стороны ютуба, а также ловушки в которые попадает ютубер, когда начинает выпускать регулярный контент.
00:00 – Интро.
01:23 — История имени LANA
01:54 — Откуда LANA родом?
06:18 — Китай и Youtube.
20:15 — Критика, хейт и требования зрителей на Youtube.
23:11 — О минимализме.
34:16 — О перфекционизме и тревожности.
38:30 — Жажда признания и амбиции.
43:56 — О «синдроме отличника» и подходе к обучению.
49:05 — О жизни цифрового кочевника.
57:56 — Про психологический и творческий кризис.
01:01:51 — Об откровенности в социальных сетях.
01:06:29 — О hustle-культуре.
01:12:58 — О балансе между работой и путешествиями.
01:13:17 — Что по-настоящему значимо для Светы?
01:14:11 — Где следить за Светой?
Apache Kafka — довольно популярная опенсорс-платформа для обработки потоков сообщений. Абстракция распределенного лога, лежащая в основе Kafka, дает возможность использовать ее в качестве системы очередей, но при этом дает некоторые очень полезные преимущества, недоступные даже решениям ESB-уровня.
…
Нашли ошибку в видео? Пишите нам на support@ontico.ru
Александр Клюшев расскажет о своем пути дата саентиста и поделится опытом.
ПОДДЕРЖАТЬ СОЗДАНИЕ ВИДОСОВ: www.glebmikhaylov.com/donate
0:27 Как ты стал дата саентистом?
2:41 Что значит full stack дата саентист?
5:21 Как выглядит твой рабочий день / неделя?
9:36 Как ты презентуешь свою работу?
12:03 Сколько времени занимает тюниг моделей?
14:19 Расскажи об интересном проекте, над которым ты работал?
18:55 Какие конкретные методы дата саенс / ml ты используешь в работе?
20:58 Что ты больше всего любишь и больше всего не любишь делать как дата саентист?
23:09 Назови один инструмент, без которого ты не представляешь свою работу?
25:53 Какие принципы / технологии дата саентист должен знать обязательно?
27:14 Что вы спрашиваете на собеседованиях?
29:47 Где ты апдейтишь свои знания по дата саенс?
31:12 Что отличает хорошего дата саентиста?
31:59 Что ты посоветуешь тем, кто хочет заняться дата саенс?
Алексей Федоров расскажет, что такое ИИС, что с ним можно делать и как с помощью него не только сохранить вложенные средства, но и заработать.
Все курсы Алексея Федорова: red-circule.com/teachers/21814
Подписывайся на наш канал и на наши группы в других социальных сетях, чтобы узнавать о других интересных вебинарах и курсах по финансам, трейдингу и инвестициям: