• Chrome 68 будет помечать все сайты HTTP как «небезопасные»



      Google и Mozilla давно агитируют за повсеместное шифрование веб-трафика и установку сертификатов SSL/TLS. В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google является платиновым спонсором этого сервиса.

      Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS»). Более того, в наше время HTTPS практически обязателен для каждого веб-сайта: Chrome и Firefox уже сейчас помечают как небезопасные веб-сайты с формами на страницах без HTTPS. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

      А дальше сайтам HTTP станет ещё труднее жить. Разработчики браузера Chrome объявили, что с версии Chrome 58 в июле 2018 года начнут помечать как небезопасные не только страницы с формами, но абсолютно все страницы HTTP. Сообщение о небезопасности сайта пользователи увидят в адресной строке рядом с URL сайта (см. скриншот вверху).
      Читать дальше →
    • Смарт-контракт ловушка в сети Ethereum

        Недавно, просматривая опубликованные смарт контракты в сети Эфириум, наткнулся на один интересный контракт с уязвимостью внутри. С первого взгляда, разработчик ошибся в коде и вы можете получить деньги контракта, но если внимательно проанализировать логику контракта, все выглядит совершенно иначе.
        Читать дальше →
      • Предсказание случайных чисел в умных контрактах Ethereum

        • Перевод


        Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он децентрализован и прозрачен. Ethereum допускает выполнение тьюринг-полных программ, которые обычно пишут на языке программирования Solidity. По словам основателей платформы, это превращает систему во «всемирный суперкомпьютер». Перечисленные характеристики полезны в приложениях для азартных игр, где особенно важно доверие пользователей.

        Блокчейн Ethereum является детерминированным и поэтому представляет определённые сложности при написании генератора псевдослучайных чисел (ГПСЧ) — неотъемлемой части любого приложения для азартных игр. Мы решили исследовать смарт-контракты, чтобы оценить безопасность ГПСЧ на Solidity и подчеркнуть характерные ошибки проектирования, которые ведут к появлению уязвимостей и возможности предсказания будущего состояния ГПСЧ.
        Читать дальше →
      • Финтех-дайджест: eBay против PayPal, международная платежная система на блокчейне

          Финтех-привет, Хабр!

          Одна из главных тем, над которой ломают копья участники профильных конференциях и колумнисты в СМИ – какая форма сотрудничества с финтех-стартапом оптимальна? Поглощение или партнерство? И приверженцы каждого подхода приводят весьма убедительные доводы. Есть мнение, пора положить конец этому спору. Потому что правильного ответа просто не существует.

          Финансовый мир меняется слишком быстро, чтобы принятое решение было верным и непоколебимым. Давайте посмотрим на историю с eBay и PayPal, разворачивающуюся на наших глазах.



          В 1999-м году молодая, но уже очень респектабельная компания eBay, котирующаяся на NASDAQ, решила, что ей нужна собственная платежная система. И она купила сервис Billpoint, потому что так казалось надежнее и спокойнее. Однако к тому моменту львиная доля аукционеров использовала только-только возникший сервис P2P-платежей PayPal, который изначально разрабатывался для мгновенных транзакций на коммуникаторах Palm Pilot (кто-нибудь их вообще помнит?), но прекрасно подошел для онлайн-аукционов. Вообще, P2P-платежи в интернете в 1999 году было очень крутой инновацией, которая, несмотря на глюки и очень странную работу поддержки PayPal, быстро вывела стартап в лидеры рынка. eBay честно пыталась развивать свой сервис, но по мере роста популярности PayPal сначала заключила партнерское соглашение, а потом в октябре 2002 года купила сервис за полтора миллиарда долларов. Billpoint отправили на свалку истории.
          Читать дальше →
          • +25
          • 4,7k
          • 3
        • Расширение и использование Linux Crypto API

          • Tutorial

          [0] Интро


          Криптографический API в Linux введён с версии 2.5.45 ядра. С тех пор Crypto API оброс всеми популярными (и не только) международными стандартами:


          • симметричного шифрования: AES, Blowfish, ...
          • хэширования: SHA1/256/512, MD5, ...
          • имитозащиты: hMAC-SHA1/256/512, hMAC-MD5, ...
          • AEAD: AES-GCM, ChaCha20-Poly1305, ...
          • генерации псевдослучайных чисел: FIPS, ...
          • асимметричного шифрования: RSA
          • согласования ключей: DH, ECDH
          • сжатия: Deflate, ZLIB

          Эта криптография доступна и, в основном, используется различными подсистемами ядра (в kernel space): IPsec, dm-crypt и др. Воспользоваться функциями Crypto API из пространства пользователя (user space) также возможно через Netlink-интерфейс, в который, начиная с версии 2.6.38 ядра, введено семейство AF_ALG, предоставляющее доступ к криптографии ядра из user space кода. Однако, существующего функционала иногда недостаточно, таким образом появляется необходимость расширения Crypto API новыми алгоритмами.

          Читать дальше →
        • Переосмысление алгоритма консенсуса PoA – алгоритм PoG

          консенсус

          Всем привет, меня зовут Константин, Я программист из Казахстана. Сейчас занимаюсь созданием собственной блокчейн платформы и хотел бы поделиться мыслями о существующих алгоритмах консенсуса и о том, что Я придумал для своей сети.
          Читать дальше →
        • AdBlock похитил этот баннер, но баннеры не зубы — отрастут

          Подробнее
          Реклама
        • «Несуществующая» криптомашина «несуществующего» агентства: NSA (No Such Agency) и KL-7

            Агентство национальной безопасности США (NSA), Форт-Мид (штат Мэриленд), считается самой крупной и самой закрытой американской спецслужбой. Осенью 1952 года президентом США Труманом был подписан меморандум об образовании NSA. Учреждение нового органа проходило под грифом «секретно» и только в 1957 году появились упоминание о нем в справочнике правительственных учреждений США. Бытовали даже шутки по этому поводу, название «NSA» расшифровывали как «No Such Agency» (нет такого агентства), «Never Say Anything» (никогда ничего не говори).



            Обеспечить национальную безопасность США и всех государственных коммуникаций — вот главное задание «несуществующего» агентства. Перехват и криптоанализ, создание и применение мер криптозащиты, разработка кодов и шифросистем, создание и внедрения техники специальной связи — составляющие работы сверхсекретного учреждения.
            Читать дальше →
            • +28
            • 7,8k
            • 3
          • Понять Биткойн и будущее. Как то, что вы знаете, будет переосмыслено навсегда

            Привет, Хабр! Представляю вашему вниманию перевод статьи "Understanding Bitcoin and the Future. How What You Know Will Be Redefined Forever" автора Andrian Iliopoulos.

            image

            Bitcoin.
            Криптовалюта.
            Децентрализованное приложение.
            Пузырь.
            Инвестиции.
            Спекуляции.
            Следующая большая ступень после Интернета.

            Это лишь некоторые из эпитетов и описаний, которые люди любят давать Биткойну. Реальность, однако, состоит в том, что ни одно из них действительно не описывает, что такое Биткойн и как эта идея, вероятно, изменит будущее человечества навсегда.
            Читать дальше →
          • Система вызова смарт-контрактов в блокчейне Ethereum

            Задача

            Централизованное решение

            Часто разработчики смарт контрактов под Ethereum сталкиваются с, казалось бы, простой проблемой — вызов кода смарт-контракта в будущем или по расписанию. Но подходящего решения нет, и приходится разрабатывать отдельный сервис для вызова контрактов.

            Разрабатывая контакты-шаблоны для платформы MyWish мы сразу столкнулись с этим ограничением. И мы задались целью, обойти это ограничение «красиво» — при помощи децентрализованного решения. Это система должна приводить контракты в действие, и поэтому решили назвать его Joule, в честь английского физика Джеймса Джоуля.

            В данной статье хотелось бы рассказать о разработке Joule, о решениях, которые легли в основу системы и полученных результатах. Нам хочется верить, что разработка, в какой-то степени, является инновационная и примененные решения могут оказаться интересными и полезными для аудитории Хабра.
            Читать дальше →
          • Реализация простой пиксельной игры в блокчейне Ethereum

              Всем привет! Вдохновившись r/place и желая реализовать наконец-то свой первый смарт-контракт на блокчейне, мы решили сделать всем доступное и веселое приложение в сети Ethereum, которое позволяет рисовать на холсте размером в 1000 x 1000 px, сохраняя каждый выбранный и раскрашенный пользователем пиксель в блокчейн. Вы можете рисовать также в реальном времени со своими друзьями и наблюдать, как в реальном времени меняется цвет выбранного пикселя по мере того, как в сети подтверждаются транзакции смарт-контракта.

              Смарт-контракт не требует оплаты за изменения цвета пикселей, но нужно будет заплатить небольшую комиссию майнерам за подтверждение транзакции.

              В данной статье я бы хотел рассказать, как у нас получилась текущая первая версия приложения и с какими техническими сложностями нам пришлось столкнуться.
              Читать дальше →
            Самое читаемое