По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Исследователи кибербезопасности выявили новую уязвимость, которая может повлиять на устройства в миллиардах по всему миру, включая серверы, рабочие станции, настольные компьютеры, ноутбуки, системы Интернета вещей и многое другое, работающие на системах Windows и Linux. Исследователи говорят, что BootHole - это своего рода уязвимость переполнения буфера, способная воздействовать на все версии загрузчика GRUB2. Он ведет себя аналогично тому, как он разобрал содержимое файла конфигурации. Этот процесс по-разному подписывается другими исполняемыми и системными файлами. Следовательно, это создает почву киберпреступникам для разрушения механизма аппаратного доверия на корне. Вследствие переполнения буфера злоумышленники могут выполнять произвольные коды в среде UEFI. Затем они могут запускать вредоносные программы, вносить изменения в ядро операционной системы напрямую, изменять загрузку или выполнять другие вредоносные действия. Данная уязвимость представляет собой большой риск и называется BootHole или CVE-2020-10713. В настоящее время данной уязвимости подвержен загрузчике GRUB2. Если злоумышленникам удастся его использовать, это может позволить им обойти функцию "Безопасной загрузки". Кроме того, атакующие также могут получить незаметный и постоянный доступ к целевым системам. Безопасная загрузка является одной из функций Унифицированного Расширяемого Интерфейса Встроенного ПО (UEFI). Люди используют его для загрузки определенных критически важных периферийных устройств, операционных систем и компонентов, обеспечивая при этом выполнение только криптографически подписанных кодов во время загрузки. Согласно отчету исследователей Eclypsium, данная функция предназначена для предотвращения выполнения не доверенных кодов до загрузки ОС. Для этого он изменяет цепочку загрузки или отключает безопасную загрузку. В Windows злоумышленники могут использовать BootHole, заменив уже установленные загрузчики по умолчанию слабой версией GRUB2, а затем установить вредоносную программу rootkit. Последствия уязвимости BootHole Уязвимость BootHole может вызвать серьезные проблемы из-за того, что она позволяет злоумышленникам выполнять свои вредоносные коды до загрузки ОС. Следовательно, системам безопасности становится трудно обнаруживать вредоносные программы или устранять их. Другая причина, по которой BootHole может легко создавать ошибки в системах, заключается в том, что в среде выполнения UEFI отсутствует возможность случайного размещения адресного пространства (ASLR), предотвращение выполнения данных (DEP) или другие технологии предотвращения использования уязвимостей. Установка обновлений не решает проблему Эксперты Eclypsium недавно связались с производителями компьютеров и поставщиками ОС, чтобы помочь смягчить проблему. Выяснилось, что решение не так просто. Установки исправлений и обновление загрузчиков GRUB2 недостаточно для устранения проблемы. Причина в том, что злоумышленники могут заменить существующий загрузчик устройства на более слабую версию. Эксперты говорят, что для смягчения последствий потребуется вновь развернутые и подписанные загрузчики. Кроме того, скомпрометированные загрузчики должны быть убраны. Корпорация Майкрософт признает эту проблему и сообщает, что она работает над тестированием совместимости и проверкой обновления Windows, которое может устранить эту уязвимость. Кроме того, он рекомендует пользователям обновлять исправления безопасности по мере их доступности в ближайшие недели. Разработчики некоторых дистрибутивов Linux следуя их примеру также выпустили рекомендации, связанные с данной уязвимостью и готовящимися исправлениями.
img
Подключение по HTTPS – признак надежности и безопасной передачи данных. Чтобы реализовать безопасное подключение по HTTPS, нужно иметь SSL сертификат. В статье расскажем, как сгенерировать самоподписанный сертификат (self signed), а также как импортировать файл сертификата в формате .pfx. После, покажем установку и применение сертификатов к сайту в веб – сервере Microsoft IIS (Internet Information Services). В статье мы используем IIS (Internet Information Services) версии 10.0.14393.0 Создание и установка самоподписанного сертификата Открываем IIS Manager. Далее, в меню слева (раздел Connections) нажимаем на корень (как правило это хостнейм вашей машины) и в открывшейся в центральной части рабочей области дважды кликаем левой кнопкой на Server Certificates: IIS так же можно запустить из под Administrative Tools В правом меню видим меню навигации Actions. Нажимаем на Create Self-Signed Certificate…. Открывается следующее окно: Указываем имя для нашего сертификата и нажимаем «OK». Далее, выбираем наш сайт в меню слева: Как только нажали на наш сайт, выбираем в правом поле меню Bindings, далее, редактируем текущее HTTPS подключение (по 443 порту) нажав Edit и выбираем сгенерированный самоподписанный SSL сертификат. Нажимаем ОК. После, открываем командную строку cmd и перезагружаем IIS сервер командой: iisreset /restart Кстати, для рестарта, можно использовать просто команду iisreset без ключа restart Импорт сертификата .pfx Аналогично как и с самоподписанным сертификатом (раздел Connections) нажимаем на корень и кликаем на Server Certificates. Далее, справа, нажимаем Import: Открываем на .pfx файл: Когда для вас создавали .pfx, на него установили пароль – введите этот пароль в поле ниже и нажмите OK. Далее, все стандартно – выбираем сайт слева → Bindings → редактируем текущее подключение по 443 порту → выбираем сертификат, который только что сделали в разделе SSL certificate → нажимаем OK. По окончанию, снова рестартуем IIS: iisreset /restart
img
В этой статье мы расскажем про самые популярные и полезные паттерны архитектуры программного обеспечения. Многоуровневая архитектура (n-уровневая) Многоуровневая архитектура является одной из самых распространенных. Ее идея заключается в том, что компоненты с одинаковыми функциями организованы в горизонтальные слои, или уровни. В результате чего каждый уровень выполняет определенную роль в приложении. В таком варианте архитектуры нет ограничения на количество уровней, которое может иметь приложение. При этом здесь также продвигается концепция разграничения полномочий. Многоуровневая архитектура абстрагирует представление о программном обеспечении как о едином целом; предоставляя достаточно информации для понимания ролей каждого уровня и взаимосвязи между ними. Стандартной реализацией такой модели может быть: Пользовательский интерфейс/уровень представления: отображение и запуск пользовательского интерфейса, отправка запросов серверному приложению. Уровень приложений: содержит уровень представления, уровень приложения, уровень предметной области и уровень хранения и управления данными. Уровень предметной области: этот уровень содержит всю логику предметной области, сущности, события и другие типы объектов, которые содержат логику предметной области. Уровень базы данных: это уровень данных, который используется для сохранения данных, которые будут использоваться сервером приложений. Пример: десктоп приложение, электронная коммерция или веб-приложения и т.д. Клиент-сервер Это наипростейшая архитектура, состоящая из сервера и нескольких клиентов. Она представляет собой распределенную структуру, которая распределяет задачи или рабочую нагрузку между поставщиками услуг, называемыми серверами, и заказчиками услуг, называемыми клиентами. При такой архитектуре, когда клиент отправляет запрос данных на сервер, сервер принимает этот запрос и отвечает клиенту, предоставляя требуемые данные. Клиенты своими ресурсами не делятся. Пример: электронная почта, обмен документами, банковские операции и т.д. Event-Bus (событийно-ориентированная архитектура) Это распределенная асинхронная архитектура для создания быстро масштабируемых реактивных приложений. Такая архитектура подходит для стека приложений любого уровня, от маленьких до сложных. Основная идея – асинхронная доставка и обработка событий. Эта модель состоит из четырех основных компонентов: Источник события Получатель события Канал Шина событий Источник публикует сообщение в определенный канал на шине событий. Получатель подписывается на определенный канал и получает сообщения, которые публикуются на канале, на который они подписаны. Пример: электронная коммерция, разработка мобильных приложений, службы уведомлений и т.д. Шаблон брокера Этот шаблон можно использовать для структурирования распределенных систем с несвязанными компонентами, взаимодействующими посредством удаленных вызовов служб. Компонент брокер отвечает за координацию обмена данными между компонентами; таких как переадресация запросов, а также передача результатов и исключений. Серверы публикуют свои возможности (услуги и характеристики) брокеру. Клиенты запрашивает услугу у брокера, и затем брокер перенаправляет клиента к подходящей услуге из своего реестра. Пример: ПО брокера сообщений, Apache ActiveMQ, Apache Kafka, RabbitMQ, JBoss Messaging и т.д. Микросервисный шаблон В данной модели службы взаимодействуют с использованием синхронных протоколов, таких как HTTP/REST, или асинхронных протоколов, таких как AMQP (Advanced Message Queuing Protocol - расширенный протокол организации очереди сообщений). Службы можно разрабатывать и разворачивать независимо, и каждая служба будет иметь собственную базу данных. Согласованность данных между службами поддерживается с помощью шаблона Saga (последовательность локальных транзакций). Пример: может быть реализован в различных вариантах использования, особенно в обширном конвейере данных Одноранговая модель (Peer-to-Peer) Здесь, как и в обычной клиент-серверной архитектуре, несколько клиентов взаимодействуют с центральным сервером. Но модель одноранговой сети (Р2Р) состоит из децентралированной сети одноранговых узлов. В этом шаблоне узлы ведут себя и как клиенты, и как серверы. Одноранговые узлы могут функционировать как клиент, запрашивающий услуги у других одноранговых узлов, и как сервер, предоставляющий услуги другим одноранговым узлам. Сети Р2Р распределяют рабочую нагрузку между одноранговыми узлами, и все они вносят и потребляют ресурсы внутри сети без необходимости использования централизованного сервера. Одноранговый узел может динамически менять свою роль с течением времени Пример: файлообменные сети, мультимедийные протоколы PDTP, P2PTV, биткоин, блокчен и т.д. Blackboard (доска объявлений) Данный паттерн полезен при решении задач, для которых не известны детерминированные стратегии решения. Все компоненты имеют доступ к «доске объявлений». Компоненты могут создавать новые объекты данных, которые в последствие будут добавлены на эту доску. Компоненты ищут определенные типы данных на доске и находят их по образцу, совпадающему с существующим источником знаний. Этот шаблон состоит из трех основных компонентов: Доска объявлений: структурированная глобальная память, которая содержит объекты из пространства решений. Источник знаний: специализированные модули с собственным представлением решения Компонент управления: выбирает, настраивает и выполняет модули Пример: быстрое распознавание, идентификация структуры белка, интерпретация сигналов звуколокатора, программы машинного обучения и т.д.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59