Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q
* Сервис-ориентированная архитектура — что это такое и зачем это нужно?
* Поиск сервисов: стандартные пути:
1) Хардкод endpointов (IP:port).
работает
просто и топорно
— при росте числа сервисов начинается ад
— появляется документация, странички в вики, которые неактуальны, ночью изменения не внесешь
— при миграции серверов часто меняются эндпоинты, много лишней сопутствующей работы
…
. Никита Сальников-Тарновский, Plumbr — Где моя память, чувак?!
Java-конференция JPoint 2015
Москва, 20.04.2015
Утечки памяти и другие ситуации истощения памяти — частые враги Java-разработчиков и системных администраторов. Они могут привести к падению приложения или сделать его недопустимо медленным.
Этот доклад рассказывает о различных способах наблюдения за использованием памяти со стороны Java-приложения и о том, как различить нормальные и потенциально критические ситуации. Также мы поговорим о том, какую информация и когда надо собрать, чтобы приступить к решения проблем, относящихся к использованию памяти приложением. Никита расскажет о том, что такое memory dump и зачем он нужен. Доклад кратко коснется утечек загрузчиков классов и их особенностей.
Project, Product or Panache: What does it mean to be a PM?
История успеха человека, который добился всего сам в IT сфере, вырастив компанию от нескольких программистов и пары тысяч пользователей до 400 сотрудников в трех офисах Европы и США, а также 500 тысяч платных клиентов.
В этом видео Борис Шахнович (Boris Shakhnovich,
CEO at PDFfiller), управляющий директор и со-основатель компании PDFfiller, поделиться с тобой своей историей.
Хотя Боря ещё достаточно молод, он уже попробовал себя во множестве сфер и не всегда успешно. Начинал Боря как студент-биофизик Университета Иллинойса в Урбана-Шампейн. Нужно было умудриться закончить его с абсолютно провальным для такой специальности средним баллом 2.0.
С такими успехами выбор аспирантской программы для продолжения обучения был невелик. К счастью, Борю приютили биоинформатики Бостонского университета. Удивительно, но именно здесь он получил Ph.D. степень всего лишь за два с половиной года и стал самым молодым научным сотрудником на факультете. В то время ему было всего 24!
Вначале он занимался вопросами эволюции белков, но постепенно его научные интересы стали склоняться к биологии генетических сетей. Идя на поводу у всеобщего убеждения, гласившего, что чтобы добиться успеха, ученому нужно подтвердить теорию экспериментально, он присоединился к лаборатории Гарвардского университета. После двух лет сотрясания дрожжей в пробирках, не опубликовав ни одной научной работы, Боря наконец-то решил, что академическая среда не может дать ему то, чего ему всегда хотелось -возможности построить что-то по-настоящему своё. Так он покинул науку, чтобы построить собственную компанию, которая должна была изменить мир!
Продукт, над которым работала первая компания Бори, должен был облегчить ученым публикацию статей, а также ускорить рецензирование работ своих коллег. Компания смогла привлечь несколько миллионов долларов инвестиций, но при этом в научной среде продукт так и не стал популярным…
И вот, шесть лет спустя, после провала своего первого проекта, Боря со-основатель и исполнительный директор компании, которая выросла без привлечения сторонних инвестиций. Сегодня в этой компании работает 400 человек и продукт используется полумиллионом клиентов. Сегодня Боря живет жизнью, о которой он мог только мечтать!
Кроме того, Боря расскажет:
— Как строить приносящий деньги продукт и масштабировать маркетинговые кампании без привлечения сторонних инвестиций;
— Как успешно построить команду для поддержки и развития продукта, который ты купили в готовом виде;
— Как правильно создавать микрокоманды IT специалистов и как руководить ими эффективно;
— Как привлекать в команду профессионалов, как делать их работу комфортной, как мотивировать и… как увольнять, если потребуется;
— Обсудим роль проектных менеджеров, их главные задачи и то, чем отличается работа PM в продуктовых компаниях от работы в аутсорсе.
Если у тебя есть вопросы к Борису Шахновичу, пиши прямо здесь в комментариях.
Подписывайся на наш канал, чтобы быть в курсе новостей компании PDFfiller: goo.gl/ocQzUp
Хочешь к нам присоединиться?
Ищи подходящую вакансию по ссылке: goo.gl/07jhkp
Пиши нам в skype:
Анастасия Завадская — anastasia.zavadskaya
Оля Сидоренко — olya.sidorenko.94
Мы слабо представляли как работает JIT-компилятор в .NET Framework, узнать о нем хоть немного можно было только из некоторых книг и блогов. С релизом .NET Core и полным открытым кодом JIT стал открытой книгой, каждый может попробовать что-нибудь в нем улучшить или поправить.
В этом докладе Егор расскажет что на самом деле это не так сложно и не требуется научная степень в ракетостроении. Вы узнаете про полный цикл, который проходит ваш C# код от момента запуска до выполнения на процессоре с фокусом на происходящее внутри JIT. Будет информация про его промежуточный язык, фазы оптимизации и даже такие компиляторные вещи, как SSA и Value Numbering.