Програмне забезпечення керує критичною інфраструктурою — від банківських систем до ядерних об’єктів, отже питання безпеки коду стає надважливим. Кожен рік кіберзлочинці завдають мільярдних збитків, експлуатуючи вразливості, які часто виникають через прості помилки програмування.

Ця стаття розглядає найбільш критичні помилки, які роблять розробники, створюючи потенційні “чорні ходи” для хакерів. Розуміння цих помилок — перший крок до написання безпечного коду.

1. SQL-ін’єкції: коли база даних стає зброєю проти вас

SQL-ін’єкція залишається однією з найпоширеніших та найнебезпечніших вразливостей. Вона виникає, коли програма формує SQL-запити, безпосередньо підставляючи в них дані від користувача без належної перевірки.

Як це працює

Уявіть просту форму входу, де програма перевіряє логін та пароль таким чином:

SELECT * FROM users WHERE username = '$username' AND password = '$password'

Якщо зловмисник введе як ім’я користувача рядок admin' --, запит перетвориться на:

SELECT * FROM users WHERE username = 'admin' --' AND password = ''

Символи -- в SQL означають початок коментаря, тому перевірка пароля просто ігнорується. Атакуючий отримує доступ до облікового запису адміністратора без знання пароля.

Наслідки

SQL-ін’єкції можуть призвести до:

• Крадіжки всієї бази даних
• Видалення критичних даних
• Модифікації записів (наприклад, зміни балансів рахунків)
• Отримання повного контролю над сервером бази даних

Як запобігти

Головне правило — ніколи не довіряйте даним від користувача. Використовуйте параметризовані запити або підготовлені вирази (prepared statements), які розділяють SQL-код від даних:

# Правильно
cursor.execute("SELECT * FROM users WHERE username = ? AND password = ?", (username, password))

# Неправильно
cursor.execute(f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'")

2. Переповнення буфера: коли пам’ять виходить з-під контролю

Переповнення буфера — це класична вразливість, особливо характерна для мов програмування низького рівня, таких як C та C++. Вона виникає, коли програма записує дані за межі виділеного буфера пам’яті.

Механізм експлуатації

Коли програма виділяє буфер фіксованого розміру, але не перевіряє розмір даних, що записуються:

char buffer[10];
strcpy(buffer, user_input); // Небезпечно!

Якщо user_input містить більше 10 символів, зайві дані перезапишуть сусідні ділянки пам’яті. Це може включати адреси повернення функцій, що дозволяє атакуючому перенаправити виконання програми на свій код.

Чому це критично

Переповнення буфера може дозволити:

• Виконання довільного коду з правами програми
• Обхід механізмів аутентифікації
• Крах програми (DoS-атака)
• Ескалацію привілеїв до рівня системного адміністратора

Методи захисту

Використовуйте безпечні функції, які враховують розмір буфера:

// Замість strcpy використовуйте strncpy
strncpy(buffer, user_input, sizeof(buffer) - 1);
buffer[sizeof(buffer) - 1] = '\0';

// Або ще краще - безпечні функції з перевіркою меж
strlcpy(buffer, user_input, sizeof(buffer));

Також важливо використовувати сучасні механізми захисту на рівні компілятора та операційної системи: DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization), та canary values.

3. Cross-Site Scripting (XSS): коли браузер стає ворогом

XSS-атаки дозволяють зловмисникам впроваджувати JavaScript-код на веб-сторінки, які переглядають інші користувачі. Це одна з найпоширеніших вразливостей веб-додатків.

Види XSS

Reflected XSS: зловмисний скрипт передається через URL або форму і одразу виконується:

<!-- Вразливий код -->
<p>Результати пошуку для: <?php echo $_GET['search']; ?></p>

<!-- Атака через URL -->
site.com/search?q=<script>steal_cookies()</script>

Stored XSS: зловмисний код зберігається на сервері (наприклад, у коментарях) і виконується кожного разу, коли хтось переглядає сторінку.

DOM-based XSS: атака відбувається повністю на стороні клієнта через маніпуляції з DOM.

Потенційна шкода

XSS може призвести до:

• Крадіжки сесійних cookies та викрадення облікових записів
• Фішингових атак від імені довіреного сайту
• Встановлення кейлогерів для крадіжки паролів
• Поширення хробаків через соціальні мережі

Захист від XSS

Основний принцип — екранування всіх даних перед виведенням:

// Функція для безпечного виведення тексту
function escapeHtml(text) {
    const map = {
        '&': '&',
        '<': '&lt;',
        '>': '&gt;',
        '"': '&quot;',
        "'": '&#039;'
    };
    return text.replace(/[&<>"']/g, m => map[m]);
}

// Використання
document.getElementById('output').textContent = userInput; // Безпечно
// АБО
document.getElementById('output').innerHTML = escapeHtml(userInput);

Також важливо використовувати Content Security Policy (CSP) заголовки для обмеження виконання скриптів.

4. Небезпечна десеріалізація: коли дані стають кодом

Десеріалізація — це процес перетворення даних (наприклад, JSON, XML, бінарних форматів) назад в об’єкти програми. Небезпечна десеріалізація виникає, коли програма десеріалізує дані з ненадійних джерел без належної перевірки.

Приклад атаки

У багатьох мовах програмування (Java, Python, PHP) десеріалізація може викликати виконання коду:

import pickle
# НІКОЛИ не робіть так з даними від користувача!
user_data = request.get_data()
obj = pickle.loads(user_data)  # Небезпечно!

Атакуючий може створити спеціально сформований об’єкт, який при десеріалізації виконає довільний код.

Масштаб проблеми

Небезпечна десеріалізація може дозволити:

• Віддалене виконання коду (RCE)
• Повний контроль над сервером
• Обхід логіки додатку
• DoS-атаки через створення ресурсомістких об’єктів

Рекомендації щодо захисту

Найкращий захист — уникати десеріалізації даних від користувачів. Якщо це неможливо:

# Використовуйте безпечні формати даних
import json
user_data = request.get_json()  # JSON безпечніший за pickle

# Валідуйте структуру даних
schema = {
    "type": "object",
    "properties": {
        "name": {"type": "string"},
        "age": {"type": "number"}
    }
}
validate(user_data, schema)

5. Облікові дані зашиті в код: відкриті двері для атакуючих

Зберігання паролів, API-ключів та інших секретів прямо в коді — це як залишити ключі під килимком. Це одна з найпростіших для виявлення, але досі дуже поширена помилка.

Чому це проблема

# НІКОЛИ не робіть так!
DATABASE_PASSWORD = "SuperSecret123"
API_KEY = "sk-1234567890abcdef"

def connect_to_database():
    return psycopg2.connect(
        host="db.example.com",
        password=DATABASE_PASSWORD
    )

Проблеми:

• Секрети потрапляють у систему контролю версій (Git)
• Будь-хто з доступом до коду отримує доступ до ресурсів
• Неможливо змінити паролі без зміни коду
• Складно використовувати різні облікові дані для різних середовищ

Наслідки витоку

Жорстко закодовані секрети можуть призвести до:

• Несанкціонованого доступу до баз даних
• Використання платних API за ваш рахунок
• Компрометації всієї інфраструктури
• Витоку конфіденційних даних клієнтів

Правильний підхід

Використовуйте змінні середовища або спеціалізовані сервіси управління секретами:

import os
from dotenv import load_dotenv

# Завантаження з файлу .env (не комітіть його!)
load_dotenv()

DATABASE_PASSWORD = os.environ.get('DATABASE_PASSWORD')
API_KEY = os.environ.get('API_KEY')

# Або використовуйте сервіси управління секретами
# AWS Secrets Manager, HashiCorp Vault, Azure Key Vault

6. Відсутність перевірки та валідації вхідних даних

“Ніколи не довіряйте даним від користувача” — це мантра безпечного програмування. Відсутність належної валідації вхідних даних є коренем багатьох вразливостей.

Типові помилки

// Поганий приклад
app.post('/transfer', (req, res) => {
    const amount = req.body.amount;
    const toAccount = req.body.toAccount;
    
    // Прямо використовуємо дані без перевірки
    transferMoney(amount, toAccount);
});

Проблеми:

• Що якщо amount = -1000? (негативний переказ = крадіжка)
• Що якщо amount = “not_a_number”?
• Що якщо toAccount не існує або має неправильний формат?

Комплексний підхід до валідації

// Правильний підхід
app.post('/transfer', (req, res) => {
    const amount = parseFloat(req.body.amount);
    const toAccount = req.body.toAccount;
    
    // Валідація типу та діапазону
    if (isNaN(amount) || amount <= 0 || amount > 10000) {
        return res.status(400).json({error: "Invalid amount"});
    }
    
    // Валідація формату
    if (!/^\d{10}$/.test(toAccount)) {
        return res.status(400).json({error: "Invalid account number"});
    }
    
    // Додаткова бізнес-логіка
    if (amount > getUserBalance(req.user)) {
        return res.status(400).json({error: "Insufficient funds"});
    }
    
    transferMoney(amount, toAccount);
});

Принципи безпечної валідації

Завжди перевіряйте:

• Тип даних (число, рядок, масив)
• Діапазон значень (мінімум, максимум)
• Формат (регулярні вирази для email, телефонів)
• Довжину рядків
• Наявність обов’язкових полів
• Бізнес-правила (чи має користувач право на цю операцію)

7. Небезпечне використання криптографії

Криптографія — це складно. Навіть досвідчені розробники часто роблять помилки, які повністю нівелюють захист.

Типові помилки

Використання слабких алгоритмів:

import hashlib
# НЕ використовуйте MD5 або SHA1 для паролів!
password_hash = hashlib.md5(password.encode()).hexdigest()

Власні криптографічні рішення:

# НІКОЛИ не придумуйте власну криптографію!
def my_encrypt(text):
    return ''.join(chr(ord(c) + 3) for c in text)  # Це НЕ шифрування!

Неправильне зберігання паролів:

# Погано - просте хешування
password_hash = hashlib.sha256(password.encode()).hexdigest()

# Добре - з сіллю та повільним алгоритмом
import bcrypt
password_hash = bcrypt.hashpw(password.encode(), bcrypt.gensalt())

Наслідки поганої криптографії

• Паролі можуть бути зламані за лічені хвилини
• “Зашифровані” дані легко розшифровуються
• Підробка цифрових підписів
• Man-in-the-middle атаки

Правильний підхід

# Для паролів використовуйте bcrypt, scrypt або Argon2
import bcrypt

def hash_password(password):
    return bcrypt.hashpw(password.encode(), bcrypt.gensalt(rounds=12))

def verify_password(password, hash):
    return bcrypt.checkpw(password.encode(), hash)

# Для шифрування використовуйте перевірені бібліотеки
from cryptography.fernet import Fernet

key = Fernet.generate_key()
cipher = Fernet(key)
encrypted = cipher.encrypt(data.encode())
decrypted = cipher.decrypt(encrypted).decode()

8. Проблеми з аутентифікацією та управлінням сесіями

Навіть якщо ви правильно перевіряєте паролі, помилки в управлінні сесіями можуть звести нанівець всі зусилля з безпеки.

Поширені вразливості

Передбачувані токени сесій:

# Погано - передбачуваний ID
session_id = str(user_id) + str(int(time.time()))

# Добре - криптографічно стійкий випадковий токен
import secrets
session_id = secrets.token_urlsafe(32)

Відсутність таймаутів:

# Сесії повинні мати обмежений термін дії
SESSION_TIMEOUT = 3600  # 1 година
if time.time() - session['created_at'] > SESSION_TIMEOUT:
    invalidate_session(session_id)

Незахищена передача:

• Використання HTTP замість HTTPS
• Відсутність флагів Secure та HttpOnly для cookies
• Передача токенів у URL

Комплексний захист сесій

# Правильне налаштування cookies
response.set_cookie(
    'session_id',
    session_token,
    secure=True,        # Тільки через HTTPS
    httponly=True,      # Недоступний для JavaScript
    samesite='Strict',  # Захист від CSRF
    max_age=3600        # Термін дії
)

# Регенерація ID сесії після входу
def login_user(username, password):
    if verify_credentials(username, password):
        # Створюємо нову сесію для запобігання session fixation
        old_session_data = get_session_data()
        invalidate_current_session()
        new_session_id = create_new_session()
        restore_session_data(new_session_id, old_session_data)

9. Race Conditions: коли час має значення

Race conditions виникають, коли результат виконання програми залежить від порядку або часу виконання операцій. У багатопоточних або розподілених системах це може призвести до серйозних проблем безпеки.

Класичний приклад

# Вразливий код для зняття грошей
def withdraw(amount):
    balance = get_balance()
    if balance >= amount:
        # Між перевіркою та оновленням може пройти час!
        time.sleep(0.1)  # Імітація затримки
        new_balance = balance - amount
        update_balance(new_balance)
        return True
    return False

Якщо два запити прийдуть одночасно, обидва можуть пройти перевірку до того, як баланс буде оновлений, дозволяючи зняти більше грошей, ніж є на рахунку.

Експлуатація в реальному світі

Race conditions можуть дозволити:

• Подвійне використання промокодів або купонів
• Перевищення лімітів (наприклад, кількості спроб входу)
• Обхід перевірок безпеки
• Дублювання транзакцій

Методи захисту

import threading

# Використання блокувань
balance_lock = threading.Lock()

def withdraw_safe(amount):
    with balance_lock:
        balance = get_balance()
        if balance >= amount:
            new_balance = balance - amount
            update_balance(new_balance)
            return True
    return False

# Або використання транзакцій бази даних
def withdraw_atomic(amount):
    with database.transaction():
        # База даних гарантує атомарність
        cursor.execute("""
            UPDATE accounts 
            SET balance = balance - %s 
            WHERE id = %s AND balance >= %s
        """, (amount, account_id, amount))
        return cursor.rowcount > 0

10. Недостатнє логування та моніторинг

Відсутність належного логування — це як керувати автомобілем із зав’язаними очима. Ви не знаєте, що відбувається, поки не станеться катастрофа.

Чому це критично

Без логування ви не можете:

• Виявити атаки в реальному часі
• Розслідувати інциденти
• Зрозуміти масштаб компрометації
• Довести факт атаки для правоохоронних органів

Що потрібно логувати

import logging
from datetime import datetime

# Налаштування логування
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(name)s - %(levelname)s - %(message)s',
    handlers=[
        logging.FileHandler('security.log'),
        logging.StreamHandler()
    ]
)

security_logger = logging.getLogger('security')

# Логування спроб аутентифікації
def login(username, password, ip_address):
    if verify_credentials(username, password):
        security_logger.info(f"Successful login: user={username}, ip={ip_address}")
        return create_session(username)
    else:
        security_logger.warning(f"Failed login attempt: user={username}, ip={ip_address}")
        # Додаткова логіка для виявлення брутфорсу
        check_brute_force(username, ip_address)
        return None

# Логування критичних операцій
def delete_user_data(user_id, admin_id):
    security_logger.critical(
        f"Data deletion: target_user={user_id}, admin={admin_id}, "
        f"timestamp={datetime.utcnow().isoformat()}"
    )
    # Виконання операції

Що НЕ логувати

Ніколи не записуйте в логи:

• Паролі (навіть хешовані)
• Номери кредитних карток
• Персональні дані без необхідності
• Токени доступу та API-ключі

Моніторинг та алерти

# Автоматичне виявлення аномалій
def check_suspicious_activity(user_id):
    recent_actions = get_user_actions(user_id, last_hour=1)
    
    if len(recent_actions) > 100:
        alert_security_team(f"Unusual activity: {len(recent_actions)} actions in 1 hour")
    
    failed_logins = count_failed_logins(user_id, last_minutes=10)
    if failed_logins > 5:
        temporary_block_user(user_id)
        alert_security_team(f"Possible brute force attack on user {user_id}")

Висновки та рекомендації

Безпека програмного забезпечення — це не одноразова дія, а постійний процес. Кожна з розглянутих помилок може стати критичною вразливістю, але знання про них — це перший крок до створення безпечного коду.

Ключові принципи безпечного програмування:

1. Принцип найменших привілеїв: надавайте мінімально необхідні права доступу
2. Захист в глибину: використовуйте кілька рівнів захисту
3. Fail securely: у разі помилки система повинна залишатися в безпечному стані
4. Не довіряйте нікому: перевіряйте всі вхідні дані
5. Простота: складний код важче захистити

План дій для розробників:

1. Проведіть аудит існуючого коду на наявність описаних вразливостей
2. Впровадьте автоматизовані інструменти перевірки безпеки (SAST, DAST)
3. Організуйте регулярне навчання команди з питань безпеки
4. Включіть тестування безпеки в процес розробки (DevSecOps)
5. Створіть та дотримуйтесь coding standards з урахуванням безпеки

Пам’ятайте: безпека — це не витрата, а інвестиція. Вартість усунення вразливості зростає експоненційно з часом її існування. Краще запобігти проблемі на етапі написання коду, ніж виправляти наслідки злому.

Безпечний код — це не просто технічна вимога, це відповідальність перед користувачами, які довіряють нам свої дані та своє цифрове життя.

Ця стаття ТОП-10 найбільш небезпечних помилок програмування раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

В умовах швидких змін і високої конкуренції компаніям усе частіше доводиться переглядати підходи до внутрішніх процесів і взаємодії з клієнтами. Цифровізація бізнесу — це відповідь на ці виклики, що включає перехід до технологічних рішень та автоматизації. Один з прикладів впровадження таких підходів — Асабікс, команда, яка працює над створенням програмних продуктів для практичного використання в бізнес-середовищі.

Що таке цифровий продукт і чому він важливий

Під цифровим продуктом розуміють прикладне програмне забезпечення, яке вирішує конкретні задачі бізнесу: облік, комунікацію, управління замовленнями або обслуговування клієнтів. Це можуть бути CRM-системи, мобільні застосунки, вебпортали, інтранет-платформи тощо. Їхнє призначення — покращити контроль, підвищити точність операцій та зробити взаємодію з користувачами більш зручною.

• Зменшення ручної роботи в повсякденних процесах.
• Краще планування ресурсів завдяки аналітичним інструментам.
• Підвищення задоволеності клієнтів через цифрові канали.
• Гнучкість у масштабуванні бізнесу.

З чого починається цифрова трансформація

Основою успішного запуску будь-якого цифрового рішення є аналіз потреб компанії. На початковому етапі важливо зрозуміти, які задачі необхідно вирішити, де виникають складнощі, і які можливості для оптимізації існують. Вивчення сценаріїв використання, обговорення цілей з ключовими стейкхолдерами, визначення пріоритетів — усе це формує основу технічного завдання.

• Аудит бізнес-процесів.
• Формулювання технічних і функціональних вимог.
• Планування логіки роботи майбутнього рішення.

Види цифрових продуктів і їх функції

Цифрові рішення умовно поділяють за типами задач, які вони вирішують. Ось деякі приклади:

Як реалізується технічна частина

Після формалізації вимог команда розробників переходить до створення продукту. Робота поділяється на послідовні етапи:

1. Прототипування: створення схеми інтерфейсів і логіки.
2. Дизайн: UI/UX з урахуванням специфіки цільової аудиторії.
3. Розробка: написання коду, налаштування сервісів, API.
4. Тестування: перевірка функціоналу, адаптивності, безпеки.
5. Запуск і підтримка: реліз, супровід, можливість оновлень.

Цифрові рішення як інструмент розвитку

Перевага цифрових продуктів — у гнучкості та довгостроковій цінності. Вони дають змогу не лише впорядкувати поточну діяльність, а й створити фундамент для подальшого масштабування. При правильному підході цифровізація бізнесу стає не разовим проєктом, а частиною системного росту.

У фокусі — не просто технології, а вирішення реальних задач і створення середовища для ефективної взаємодії між людьми, даними й процесами.

Ця стаття Цифрова розробка — стратегія для сучасного бізнесу раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Ви, напевно, зустрічали використання терміну “API”. Оновлення операційної системи, веб-браузера та додатків часто супроводжуються повідомленням про нові API для розробників. Отже, що таке API і як розробники його використовують?

У світі програмного забезпечення API (абревіатура, яка розшифровується як Application Programming Interface) є одним із найважливіших інструментів для забезпечення взаємодії між різними системами. Це свого роду місток, що дозволяє одній програмі “спілкуватися” з іншою за допомогою заздалегідь визначених правил.

Що таке API?

API (інтерфейс прикладного програмування) — це набір інструкцій, протоколів і засобів, які дозволяють програмам обмінюватися даними або виконувати певні функції. Уявіть це як меню в ресторані: ви бачите перелік доступних страв (функцій) і опис того, як їх можна замовити, але не маєте доступу до деталей приготування (внутрішнього коду програми).

API працює як посередник між запитами користувача та відповідями системи, забезпечуючи стандартизацію процесу обміну даними.

Ви можете провести аналогію з меню в ресторані. У меню представлений список страв, які ви можете замовити, а також опис кожної страви. Коли ви вказуєте, які пункти меню ви хочете замовити, кухня ресторану виконує роботу і надає вам готові страви. Ви точно не знаєте, як ресторан готує цю їжу, але вам це не потрібно – ви просто насолоджуєтеся її смаком.

Аналогічно, API перераховує купу операцій, які розробники можуть використовувати, разом з описом того, що вони роблять. Розробнику не обов’язково потрібно знати, як, наприклад, операційна система будує та представляє діалогове вікно “Зберегти як”. Вони просто повинні знати, що цей елемент доступний для використання у їхньому додатку. Це не ідеальна аналогія, оскільки розробникам, можливо, доведеться надати власні дані API, щоб отримати результати, тому, можливо, це більше схоже на ресторан, де ви можете надати деякі власні інгредієнти, з якими працюватиме кухня.

Читайте також: Що таке суперкукі та як захистити вашу конфіденційність в мережі

Для чого потрібні API?

Якщо казати про загальну ситуацію, то інструменти API дозволяють розробникам економити час, скориставшись реалізацією платформи для виконання якихось другорядних дій. Це допомагає зменшити кількість коду, який потрібно створити розробникам, а також допомагає створити більшу узгодженість всіх додатків для однієї платформи. API можуть контролювати доступ до апаратних та програмних ресурсів.

Припустимо, ви хочете розробити додаток для iPhone. Операційна система iOS від Apple надає велику кількість API, як і будь-яка інша операційна система, щоб полегшити вам цю роботу. Наприклад, якщо ви хочете вбудувати веб-браузер для показу однієї чи кількох веб-сторінок, вам не потрібно писати власний веб-браузер з нуля лише для своєї програми. Ви використовуєте WKWebView API для вбудовування у свій додаток веб-браузера (Safari).

Якщо ви хочете знімати фото або відео з камери iPhone, вам не потрібно писати власний інтерфейс камери. Ви використовуєте API камери, щоб вставити вбудовану камеру iPhone у свій додаток. Якби API не існувало, щоб полегшити роботу, розробникам додатків довелося б створити власне програмне забезпечення для камери та інтерпретувати вхідні дані апаратного забезпечення камери. Але розробники операційної системи Apple проробили всю цю важку роботу, тому інші розробники можуть просто використовувати API камери для вбудовування камери, а потім приступати до створення свого додатка. І коли Apple покращить API камери, усі додатки, які його використовують, автоматично скористаються цим покращенням.

Це стосується кожної платформи. Наприклад, вам потрібно створити діалогове вікно у Windows? Для цього є API. Хочете підтримувати автентифікацію за відбитками пальців на Android? Для цього також є API, тому вам не доведеться тестувати датчик відбитків пальців кожного виробника під Android. Розробникам не потрібно знову і знову винаходити колесо.

Отже, якщо підсумувати, ось для чого потрібні API:

1. Інтеграція сервісів:
   API дозволяє об’єднувати різні додатки або сервіси. Наприклад, платіжні системи (PayPal, Stripe) надають API для інтеграції з інтернет-магазинами.
2. Автоматизація:
   API використовується для автоматизації процесів, наприклад, обробки даних між CRM-системою та бухгалтерським софтом.
3. Доступ до функціоналу:
   API дозволяє програмістам використовувати функції іншої програми, не розробляючи їх самостійно. Наприклад, Google Maps API дає змогу додавати карти на вебсайти.
4. Розширення можливостей продукту:
   API дозволяє розробникам створювати додаткові функції для існуючого програмного забезпечення.
5. Економія часу і ресурсів:
   Замість розробки нових функцій з нуля, можна використовувати готові API, прискорюючи процес створення продукту.

Інструменти для роботи з API

Для ефективного використання API розробники застосовують спеціальні інструменти:

1. Postman:
   Один із найпопулярніших інструментів для тестування та роботи з API. Дозволяє створювати та відправляти запити, перевіряти відповіді та аналізувати дані.
2. Swagger:
   Інструмент для створення документації до API. Завдяки Swagger можна тестувати API та генерувати специфікації.
3. cURL:
   Командний рядок для передачі даних через різні протоколи, використовується для тестування API-запитів.
4. Insomnia:
   Простий у використанні інструмент для створення HTTP-запитів та тестування API.
5. API Gateway:
   Це спеціалізовані інструменти, які використовуються для управління API (наприклад, AWS API Gateway). Вони забезпечують безпеку, масштабованість і моніторинг API.

API використовуються для контролю доступу до апаратних пристроїв та функцій програмного забезпечення, для використання яких програма може не обов’язково мати дозвіл. Ось чому  інструменти API часто відіграють велику роль у безпеці.

Наприклад, якщо ви коли-небудь відвідували веб-сайт і бачили у своєму веб-переглядачі повідомлення про те, що веб-сайт просить дозволу знайти ваше точне місцезнаходження, цей веб-сайт намагається використовувати API геолокації у вашому веб-переглядачі. Веб-браузери відкривають такі API, щоб спростити веб-розробникам доступ до вашого місцезнаходження – вони можуть просто запитати “де ти?” а браузер виконує важку роботу з доступом до GPS або найближчих мереж Wi-Fi, щоб знайти ваше фізичне місцезнаходження.

Однак браузери також відкривають цю інформацію через API, оскільки можна контролювати доступ до неї. Якщо веб-сайт хоче отримати доступ до вашого точного фізичного місцезнаходження, єдиний спосіб отримати його – через API місцезнаходження. І коли веб-сайт намагається ним скористатися, ви – користувач – можете дозволити або відхилити цей запит. Єдиний спосіб отримати доступ до апаратних ресурсів, таких як датчик GPS, – це через API, тому браузер може контролювати доступ до обладнання та обмежувати можливості додатків.

Цей же принцип використовується в сучасних мобільних операційних системах, таких як iOS та Android, де мобільні додатки мають дозволи, які можна застосувати, контролюючи доступ до API. Наприклад, якщо розробник намагається отримати доступ до камери через API камери, ви можете відхилити запит на дозвіл, а додаток не має доступу до камери вашого пристрою. Файлові системи, які використовують дозволи, як це роблять у Windows, Mac і Linux – мають ці дозволи застосовувати API файлової системи. Типова програма не має прямого доступу до фізичного жорсткого диска. Натомість додаток повинен отримувати доступ до файлів через API.

Інструменти API також використовуються у багатьох інших випадках. Наприклад, якщо ви коли-небудь бачили об’єкт Карт Google, вбудований на веб-сайт, цей веб-сайт використовує API Карт Google для вбудовування цієї карти. Google надає подібні API веб-розробникам, які потім можуть використовувати API для розміщення складних об’єктів прямо на своєму веб-сайті. Якби таких API не існувало, розробникам, можливо, довелося б створити власні карти та надати власні картографічні дані, щоб просто розмістити невелику інтерактивну карту на веб-сайті. Оскільки це API, Google може контролювати доступ до Карт Google на сторонніх веб-сайтах, забезпечуючи, щоб вони використовували його послідовно, а не намагалися безладно вставити фрейм, який показує, наприклад, веб-сайт Карт Google.

Читайте також: Топ-10 найцікавіших комп’ютерних вірусів в історії

Приклади використання API

Ми можемо бачити використання API у багатьох різних онлайн-сервісах. Існують API для подання запиту на переклад тексту з Перекладача Google або вбудовування коментарів або твітів Facebook з Twitter на веб-сайт.

Стандарт OAuth також визначає ряд API, які дозволяють входити на веб-сайт за допомогою іншої служби – наприклад, використовувати свої облікові записи Facebook, Google або Twitter для входу на новий веб-сайт без створення нового облікового запису користувача лише для цього сайту. API – це стандартні контракти, які визначають, як розробники спілкуються зі службою, і тип результатів, які розробники повинні очікувати на повернення.

Найпростіші приклади використання API:

1. Соціальні мережі:
   Facebook, Twitter та Instagram використовують API для інтеграції зі сторонніми сервісами, такими як аналітика чи автоматичні публікації.
2. Електронна комерція:
   Платформи, як-от Shopify або Amazon, використовують API для інтеграції з логістичними компаніями, платіжними шлюзами та рекламними мережами.
3. Мобільні додатки:
   Додатки для прогнозу погоди, карт або доставки їжі отримують інформацію через API сервісів, як-от OpenWeatherMap або Google Maps.

Переваги використання API

• Простота інтеграції: API спрощує обмін даними між різними системами.
• Масштабованість: Легке розширення функціональності продукту.
• Ефективність: Швидке впровадження готових рішень.
• Універсальність: Використання API можливе для будь-яких типів програм і платформ.

API — це ключ до взаємодії сучасного програмного забезпечення. Вони роблять цифровий світ більш інтегрованим і зручним, дозволяючи розробникам створювати потужні, масштабовані та функціональні продукти, економлячи час і ресурси. Інструменти для роботи з API допомагають тестувати, документувати та підтримувати цей процес, забезпечуючи якість і стабільність інтеграції.

Якщо ви це прочитали, ви матимете краще уявлення про те, що таке API. Зрештою, вам не потрібно знати, що таке API, якщо ви не розробник. Але, якщо ви бачите, що програмна платформа або служба додали якісь нові API для різних апаратних засобів або послуг, розробникам має бути простіше скористатися такими можливостями.

Ця стаття Що таке API та для чого потрібні інструменти API? раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Міжнародна група вчених із США, Ірландії, Індії і Сінгапуру створила молекулярну мікросхему, яка працює подібно мозку – одночасно зберігає і обробляє дані, а також здатна перебудовувати свою апаратну архітектуру. Про це повідомляється в журналі Nature.

Вчені створили молекулярний пристрій, що здатен разюче швидко переналаштовувати з’єднання всередині себе, імітуючи поведінку мозку. Але досягається це не за рахунок зміни фізичних зв’язків, як в мозку, а за рахунок перепрограмування логіки.

За словами авторів, їх молекулярний пристрій може в майбутньому допомогти в розробці нового покоління мікросхем з підвищеною обчислювальною потужністю і швидкістю, але зниженим енергоспоживанням. Такі пристрої створювали і раніше, але до сих пір їх робили тільки на основі сполук рідкоземельних металів, що обмежувало температурний діапазон роботи.

Вчені вважають, що такий молекулярний кристал можна вбудовувати в мобільні і периферійні пристрої, а також в звичайні кремнієві процесори для “прискорення прийняття складних рішень” і роботи нейромереж, які будуть набагато могутніше існуючих.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Вчені створили молекулярний процесор раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Спілкування машини і людини завжди відбувалося без почуття гумору. Однак це правило незабаром перестане діяти. Китайські фахівці розробили нову технологію, завдяки якій штучний інтелект навчиться розпізнавати сарказм у висловлюваннях людей.

Cарказм – одна з найскладніших форм людського самовираження і, отже, одна з найскладніших для навчання системам. Вчені змогли виявити цю унікальну людську лінгвістичну межу в усній або письмовій бесіді.

Експерти вважають, що ця розробка цікава з двох причин. По-перше, можна спостерігати, як буде розвиватися штучний інтелект. По-друге, нова ступінь його розвитку дозволить використовувати машини в більш складних і різноманітних роботах.

На думку фахівців, розпізнавання саркастичних висловлювань дозволить штучному інтелекту не зациклюватися на прописаних програмістом алгоритмах. Тобто, це вже шлях до самостійного мислення. Наприклад, такий ШІ зможе проводити різноманітні соціологічні дослідження, до яких тепер не потрібно буде залучати людей. Для цього буде достатньо послухати те, про що говорять люди.

На цей момент у дослідженнях застосовуються тексти з Twitter. Автори розцінюють свою розробку як вкрай перспективну. Виходить, що незабаром машини навчаться виконувати роботу, яку раніше могли робити тільки люди.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Штучний інтелект навчився розпізнавати сарказм раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Відповідно до патенту, поданого південнокорейською компанією, Samsung може додати світлодіодну смугу повідомлень на шарнір складного телефону. В цьому патенті Galaxy Z Fold 2 використовується в якості макета, але ця технологія теоретично може бути використана вже в Galaxy Z Fold 3.

На шарнірі цього пристрою можна було б розмістити кілька червоних, зелених, синіх і білих світлодіодів, оточених напівпрозорої кришкою. Простіше кажучи, зробити невеликий RGB-дисплей. Відповідно до патенту, він буде займати більшу частину довжини складного пристрою. Це дозволить Samsung відображати широкий спектр колірних комбінацій і візуальних ефектів.

Швидше за все, це не дозволить виводити текстові повідомлення, але робити, наприклад, перелив від жовтого кольору до червоного для відображення втрачених дзвінків – запросто. Користувачі, швидше за все, також зможуть налаштувати їх, поставивши певні кольори або шаблони для додатків або певних повідомлень. Рендери LetsGoDigital так само представляють світлодіодний індикатор повідомлень, як візуальне продовження шпалер телефону. Samsung називає це “visual decoration” (візуальне прикраса).

Таке рішення дозволить більш розумно використовувати вільний простір на корпусі телефону, адже моноблоки не завжди можуть виділити вільне місце під такий дисплей. Питання тільки в тому, як реалізувати таке рішення без втрати жорсткості шарніра.

Варто відзначити, що таке рішення було б крутим не тільки з точки зору практичності, а й з точки зору дизайну . Саме шарнір є найкращим місцем для установки такого екрану на корпус смартфона. Його завжди видно, він не забирає місце у бічній панелі, роблячи смартфон менш безрамковий, і він дозволить хоч якось скрасити цей громіздкий вузол.

Як завжди, патент не є гарантією того, що компанія відразу почне реалізовувати таку технологію і ось-ось випустить рішення на ринок. Можливо, це зроблено для того, щоб просто застовпити технологію і не дати конкурентам випустити щось подібне раніше. Тим не менш, вірогідність того, що це рішення буде застосовано вже через рік в Galaxy Z Fold 3, досить висока.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Ця стаття Яким буде Samsung Galaxy Z Fold 3 раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Засновник спільноти для техноентузіастів Neuron Hackspace Павло Жовнер зібрав на Kickstarter понад 880 тисяч доларів на “тамагочі для хакерів” – Flipper Zero.

За допомогою Flipper Zero можна керувати домофонами, телевізорами, гаражними воротами, кондиціонерами та іншими електронними пристроями, а також клонувати безконтактні карти. Всередині є тамагочі: “кібер-дельфін”, який харчується за рахунок зламаних пристроїв.

Мінімальну ціну для початку виробництва встановили в 60 тисяч доларів, отримати Flipper Zero можна було за 99 доларів, на момент написання замітки мінімальний лот становить 119 доларів.

Також у Flipper Zero з’явиться модуль NFC. Якщо команда збере більше $ 1 млн, то буде розглянута можливість запуску більш складної версії пристрою.

Про усі можливості пристрою дивіться на ВІДЕО.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як за допомогою задньої панелі iPhone швидко запускати дії чи команди? – Інструкція

Як уникнути схем шахрайства в Інтернеті? Поради для користувачів старшого покоління

Інтернет-шахраї та псевдоволонтери: як розпізнати благодійну аферу? Поради

Яких заходів потрібно вживати компаніям для протидії та відновленню у випадку кібератак? Поради

Нагадаємо, нову уразливість, яка дозволяє зловмисникам отримати майже повний контроль над Wіndows або Linux системами, виявила компанія Eclypsium. За її словами, уразливими є мільярди пристроїв – від ноутбуків, настільних ПК, серверів і робочих станцій до банкоматів, верстатів з програмним управлінням, томографів та іншого обладнання спеціального призначення, яке використовується в промисловій, медичній, фінансовій та інших галузях.

Окрім цього, команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис. Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.

До речі, нову фішингову кампанію, націлена на користувачів WhatsApp, виявили фахівці з кібербезпеки. Цього разу зловмисники розсилають фішингові повідомлення, використовуючи бренд Nespresso. Жертву запрошують перейти за посиланням і відповісти на кілька запитань, щоб отримати в подарунок кавоварку.

Також співробітники компаній і організацій, які використовують програмне забезпечення Microsoft Office 365, стали жертвами фішинговою кампанії, в рамках якої зловмисники використовують повідомлення-приманки, замасковані під автоматичні повідомлення SharePoint, для крадіжки облікових даних.

Зауважте, що користувачі Microsoft Office 365 звинуватили компанію Microsoft в тому, що вона нібито ділиться бізнес-даними своїх клієнтів з розробниками додатків Facebook, партнерами та субпідрядниками, порушуючи політику конфіденційності.

Ця стаття З’явився “тамагочі для хакерів”, який зібрав майже мільйон доларів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У листопаді 2018 року президент США Дональд Трамп підписав Закон про Національну квантову ініціативу. У лютому 2020 року представники 17 національних лабораторій обговорили ключові пункти плану зі створення мережі Інтернет, яка базується на принципах квантової фізики.

Перші результати розробки проектів з’явилися 23 липня. У Чиказькому університеті був представлений проeкт квантового інтернету. Згідно з планом, приблизно через рік вчені повинні зв’язати квантовою лінією зв’язку лабораторію в університеті Чикаго і Національну лабораторію імені Фермі в Батавії.

Також був оприлюднений звіт, в якому розкрита стратегія розробки національного квантового інтернету, що використовує закони квантової механіки для більш безпечної передачі інформації, чим в існуючих мережах.

Розробку прототипу планують закінчити за 10 років.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Вчені презентували проект безпечного квантового Інтернету раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Існує багато операційних систем, від Windows до macOS, від Linux до Android та iOS,  кросплатформені програми до яких розробники підтримують. Також є багато фреймворків та інструментів для розробки, як-от Qt або Google Flutter, створених для того, шоб це все було легше писати, тестувати та підтримувати, ​​але єдине спільне між цими всіма програмами  – те, що вони працюють через Інтернет. Отже, назріло питання про заснування платформи нового покоління веб-додатків під назвою Progressive Web Apps (PWA). І тепер двоє найбільших світових виробників програмного забезпечення Google та Microsoft працюють разом, щоб зробити PWA схожими за функціоналом на кращі зразки програм з Google Play Store. Про це пише Slashgear.

Більшість найпопулярніших додатків і сервісів в наші дні – є Інтернет-додатками, розробленими так, щоб вони могли охопити якомога більше платформ, часто навіть у мобільних веб-браузерах. Це не робить їх автоматично PWA, оскільки вони все ще повинні належним чином інтегруватися з основними особливостями ОС, на яких вони запускаються. Саме так написані платформи для розробки таких додатків – Microsoft PWABuilder та Bubblewrap від Google,  а їхні виробники зараз об’єднують сили для розробки PWA, які можуть працювати як на комп’ютерах, так і  на мобільних пристроях.

Google Bubblewrap – це в основному інструмент для створення пакетів Google Play Store із PWA, тоді як PWABuilder від Microsoft робить те саме для більшості магазинів додатків. PWABuilder тепер використовує інструменти з Bubblerwrap, каже Microsoft, і, у свою чергу, він надає деякі функції інтеграції PWA на Android.

Зокрема, PWA, зроблені спеціально для Google Play Store, зможуть підтримувати веб-ярлики, які дозволяють користувачам переходити безпосередньо до певних розділів або частин веб-програми. У Windows ці ярлики відображаються як перехідні списки при натисканні правою кнопкою миші на піктограму на панелі завдань. Цей самий список з’явиться на Android, коли ви утримуєте його та натискаєте на піктограму додатка. Крім того, PWA зможуть контролювати зовнішній вигляд рядка стану, як-от зміна кольору відповідно до теми програми, як і звичайні вбудовані програми Android.

Google і Microsoft з власних причин схиляються до спільних розробок PWA. Microsoft намагається компенсувати відсутність багатьох спеціалізованих програм у своєму магазині, дозволяючи існуючим веб-додаткам використовувати там PWA. Google, з іншого боку, отримує вигоду від PWA, маючи єдину історію програми, яка охоплює всі існуючі платформи та використовує ту платформу, яку вона найкраще знає: Інтернет.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Google та Microsoft об’єднали зусилля заради покращення Web-додатків та мобільних додатків раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Дослідникам з Швейцарської вищої технічної школи Цюриха вдалося розробити мікросхему, що перетворює швидкі електронні сигнали безпосередньо в надшвидкі світлові, практично без втрати якості.

Ця технологія дозволить значно поліпшити ефективність оптичних інфраструктур зв’язку, що використовують оптоволоконні мережі. У таких містах, як Цюрих, оптоволоконні мережі вже використовуються для забезпечення високошвидкісного інтернету, цифрової телефонії, телебачення і стрімінгових сервісів. Однак до кінця нинішнього десятиліття навіть потужностей подібних оптичних мереж зв’язку буде недостатньо. Сучасні мережі можуть передавати дані зі швидкістю до 10^9 біт в секунду. В майбутньому ця швидкість повинна досягти 10^12 біт в секунду.

Вченим вперше вдалося об’єднати електронні та світлові елементи на одній мікросхемі. Раніше ці елементи можна було виготовити тільки на різних чипах і лише потім з’єднати їх проводами. Такий підхід має деякі недоліки. По-перше, виготовлення електронних і фотонних чипів окремо обходиться дорого. По-друге, цей метод знижує продуктивність під час перетворення електронних сигналів в світлові і тим самим обмежує швидкість передачі в оптоволоконних мережах зв’язку.

У новій мікросхемі компактність досягається шляхом щільного розміщення електронних і фотонних компонентів один на одному, в два шари, і їх з’єднання безпосередньо з мікросхемою за допомогою “перехідних отворів на кристалі”. Таким чином скорочуються відстані передачі, і зменшуються втрати з точки зору якості сигналу. Дослідники називають подібний підхід “монолітною спільною інтеграцією”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Розроблено чип для надшвидкої передачі інформації раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанія розробила її спеціально для захисту від атак сторонніми каналами, які базуються на спекулятивному виконанні (Meltdown, Spectre, L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS тощо).

Перераховані вище атаки базуються на принципі спекулятивного виконання, коли процесор виконує завдання заздалегідь на випадок, якщо вони знадобляться. Протягом багатьох років вважалося, що подібний підхід є одним з кращих способів оптимізації роботи і підвищення продуктивності центрального процесора. Однак із 2017 року фахівці стали виявляти в ньому серйозні недоліки, що дозволяють зловмисникам отримувати доступ до захищених даних.

З метою вирішення проблеми Intel розробила новий вид пам’яті – Speculative-Access Protected Memory (SAPM), покликаний замінити існуючі системи ЦП. В цей час SAPM існує тільки на папері, і коли буде представлений реальний прототип, поки невідомо. Інженери Intel лише опублікували “теорію і можливі опції для реалізації” з метою забезпечити “фундамент для кожного дослідника зокрема і галузі в цілому”.

Згідно з концепцією, SAPM буде забезпечувати захист на апаратному рівні і працювати з адресами як фізичної, так і віртуальної пам’яті.

Нагадаємо, нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sedni виявили фахівці компанії ESET. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.

Завдяки WatchOS 6 смарт-годинник Apple Watch наближається до самостійного пристрою. Раніше Ви не могли б налаштувати Apple Watch без iPhone, а тепер Ви можете встановлювати та видаляти додатки, не торкаючись свого смартфона.

Також Співробітник Microsoft Аарон Лоуер (Aaron Lower) детально пояснив, як працює нова функція “Завантаження з хмари” в Windows 10 20H1 (версія 2003). В офіційному блозі Windows Insider опубліковали матеріал, в якому Лоуер розповідає про вбудовані функції повернення Windows 10 до вихідного стану, а також про розділи відновлення.

Зауважте, що Apple випустила оновлення iOS 13.1 та iPadOS раніше, ніж планувала. Це повинно виправити деякі помилки, знайдені у досить “сирій” версії iOS 13.0. Але компанія вже попереджає клієнтів про ще одну помилку, яку вона ще не виправила.

Часом трапляється, що Play Маркет перестає працювати. Які фактори на це можуть вплинути, та що робити, аби знову отримати доступ до віртуального магазину додатків, читайте у статті.

Ця стаття Intel представила новий тип комп’ютерної пам’яті раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

IBM запатентувала вельми цікавий мобільний пристрій, який можна застосовувати в якості наручного смарт-годинника, смартфона і навіть планшета.

Заявка на винахід була ще в 2016 році. Однак на сайті Управління США по патентах і торгових марках (USPTO) документ оприлюднений тільки зараз. Ресурс LetsGoDigital вже опублікував рендери незвичайного гаджета, створені на основі патентної документації.

У звичайному стані пристрій працює як годинник. Але корпус при цьому має досить велику товщину. Справа в тому, що в ньому ховаються чотири відсіки, кожен з яких містить по дві додаткові дисплейні секції.

Кожен міні-екран має розміри 2×3 дюйми. Висунувши чотири таких модуля, користувач отримає в своє розпорядження смартфон з дисплеєм 4×6 дюймів. При цьому відбудеться перемикання інтерфейсу з режиму годинника в режим телефону.

Висунувши ще чотири секції, власник зможе трансформувати пристрій в планшет з екраном формату 8×6 дюймів. При цьому взаємодіяти з гаджетом можна буде двома руками (поклавши, його на стіл).

Втім, поки розробка існує тільки на папері. Про можливі терміни втілення ідеї в життя нічого не повідомляється.

До речі, Google тестує окрему панель управління відтворенням, яка буде вбудована в інтерфейс настільної версії Chrome.

Також більше десяти мільйонів власників смартфонів Samsung встановили шахрайський додаток Updates for Samsung, що видається кіберзлочинцями за оновлення прошивки.

Окрім цього, Кіберкомандування США (United States Cyber Command) попередило про експлуатацію кіберзлочинцями уразливості в поштовому клієнті Outlook з метою впровадження шкідливого програмного забезпечення в урядові мережі.

Ця стаття IBM планує випустити годинник, який трансформується в планшет раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин