Все потоки

Как выбрать направление в веб-разработке?

На старте легко растеряться: вроде всё интересно, но непонятно, с чего начать. На самом деле, все зависит от ваших интересов: одни предпочитают работу с визуалом, другие — с серверами и внутренней логикой страницы. Хорошая новость в том, что в вебе есть место для любого типа мышления.

Если вы уже определились с направлением — можно переходить к практике. Например, заглянуть на Хабр Карьеру и выбрать полезный курс с понятной структурой и фокусом на реальные навыки.

Собрали для вас учебные программы по каждому из направлений:

— Frontend-разработка. Создание интерфейсов и всего, что пользователь видит и с чем взаимодействует в браузере.

— Backend-разработка. Разработка серверной части и работа с базами данных.

— Fullstack-разработка.  Сочетание frontend и backend: подойдёт тем, кто уже освоил одно направление и хочет расширить навыки.

→ Выбирайте направление и погнали учиться 🚀

Модель Opus 4.7 заметили на Vertex AI

По слухам, релиз Opus 4.7 может состояться уже сегодня.

Ждем, главное чтобы доступна была всем, а то в комменты уже прислали какой-то слив скриншота, что нужно будет пройти верификацию личности по паспорту для доступа Opus 4.7 (видимо борьба с Китаем).

Вебинар «BI + ETL + КХД за 1,5 млн: как Modus закрывает весь стек корпоративной аналитики»

21 апреля в 12 по МСК приглашаем на вебинар, на котором эксперты ИТ-интегратора «Белый код» расскажут, как малому и среднему бизнесу внедрить BI-систему за 1,5 миллиона рублей.

Одна из задач, с которой к интегратору приходит малый и средний бизнес, — внедрение BI в рамках ограниченного бюджета. При этом есть жесткие требования, например, единая экосистема BI + ETL, без «зоопарка» инструментов, а также нативная работа с 1С как основным источником данных. 

На вебинаре специалисты поделятся практикой внедрения в сегменте МСБ, а также ответят на вопросы. 

Вы узнаете:

• Почему BI сам по себе не решает проблему разночтений в данных

• Какие организационные изменения нужны, чтобы аналитика начала работать

• Modus ETL: как устроена загрузка и обработка данных

• Modus BI: аналитический портал без лишней сложности

• Структура проекта за 1,5 млн рублей: стоимость лицензий, этапы проекта и результат

Спикеры вебинара

• Андрей Рыжик, product owner BI-направления компании «Белый код»

• Наталья Лобанова, коммерческий директор компании «Белый код»

📌Дата и время: 21 апреля 12:00 МСК (онлайн)

Участие бесплатное, требуется предварительная регистрация.

Принять участие

Публичная ферта: когда обязательна и основные требования

Продолжаем серию постов о договорах для самозанятых и малого бизнеса.

Публичная оферта (далее - Оферта) защищает бизнес от неправомерных требований потребителей, а в некоторых случаях ее размещение обязательно.

Оферта позволяет осуществлять продажи без заключения индивидуального договора с каждым клиентом

Что такое оферта и ее акцепт

Публичная оферта - это предложение, адресованное неопределённому кругу лиц, с которым вы готовы заключить договор на одних и тех же условиях с любым, кто отзовётся (п. 2 ст. 437 ГК РФ).

Акцепт - это ответ того, кто принял оферту. Он должен быть полным и безоговорочным (п. 1 ст. 438 ГК РФ). Акцептом может быть: подписание договора; письмо с согласием; конклюдентные действия - например, оплата счёта или заявка на сайте.

Когда оферта обязательна:

⦁ Продажи через сайты и лендинги с возможностью онлайн-оплаты.
⦁ Интернет-магазины и иные дистанционные продажи товаров.
⦁ Продажа онлайн-курсов, вебинаров и других цифровых образовательных продуктов.
⦁ Подписки и сервисы с регулярными платежами (доступ к платформам, контенту, ПО).
⦁ Оказание услуг через Telegram-каналы и чаты, включая продажи через ботов.
⦁ Прием оплаты через платежные системы, эквайринг, агрегаторы (включая ссылки на оплату).
⦁ Массовое оказание однотипных услуг без индивидуального подписания договоров (консультации, сопровождение, онлайн-сессии).
⦁ Любые модели, где договор заключается дистанционно и акцепт происходит через оплату или совершение действия (клик, регистрация, бот-команда).

Оферта должна соответствовать требованиям закона о защите прав потребителей и содержать существенные условия.

Но об этом - в следующий четверг.

Поймал себя на мысли, что последние пару лет я просто варю ИИ с помощью другого ИИ, наполняя первый знаниями, идеями и инструментами. И чем дальше, тем больше история смещается к наполнению идеями. Знает эта зараза уже побольше меня. Моё контекстное окно явно проигрывает, а поиск занимает больше времени. Пока её узкое место - неумение работать на земле. Мне повезло. Второй год занимаюсь маршрутизацией курьеров и просто цифровых следов в существующих системах недостаточно. Надо подмечать практики у лучших кожаных мешков и принуждать по ним работать худшие мешки. Например, эта зараза угадывает с точностью до минуты (MAE) когда курьер вручит следующий заказ курьеру. Это с лифтами, пробками, домофонами, погодой и прочими приключениями в пути. Без всяких карт. Просто предсказываает, а потом придумывает всё остальное. Самые крутые курьеры вручают 25% заказов за 3 минуты до окончания дедлайна и почти не опаздывают. Скоро она научится делать это в разы лучше. Опоздания она уже снижает кратно. Когда-то расчет маршрута был сложной задачей. Сейчас он занимает доли секунды даже на огромных объёмах при фантастическом качестве. Для этого недостаточно изучить алгоритмы и подходы, попробовав их сочетания. Пришлось скормить ей кучу нюансов бизнеса и договориться в каких случаях какие компромиссы по жадности возможны.
Я пытаюсь переосмыслить собственную ценность. Похоже, я больше не аналитик, не разработчик. Я просто тот парень, который катается на дарксторы и рассказывает ИИ как можно попытаться сделать бизнес ещё лучше. Затем проверяю взлетает или нет. Улучшаю бизнес через изменения в системах и процессах. И так уже почти 30 лет.

Почему “лучший курс” часто оказывается самой дорогой ошибкой

В криптообмене и цифровых переводах пользователи часто ориентируются на самый очевидный показатель, это курс.

Логика понятна: если в одном месте курс выше, а в другом ниже, значит выгоднее там, где цифра выглядит лучше. На практике именно здесь и начинается одна из самых частых ошибок.

Проблема в том, что «лучший курс» почти никогда не существует отдельно от условий, по которым этот курс вообще доступен. Пользователь видит красивую цифру, но не всегда замечает всё, что идёт рядом: комиссии, скрытые ограничения, ручную обработку, задержки, минимальные суммы, требования к верификации, плавающий итог или просто неочевидный порядок расчёта.

В итоге человек выбирает не самый выгодный сценарий, а самый привлекательный заголовок.

Особенно часто это происходит там, где пользователь сравнивает сервисы по агрегатору, таблице или просто по первым цифрам на экране. Визуально разница может выглядеть как очевидная выгода, но после оформления заявки выясняется, что реальный результат уже другой.

Иногда «лучший курс» ломается на комиссии, которая появляется позже. Иногда на спреде между заявленным и финальным расчётом. Иногда на том, что деньги приходят дольше, чем ожидалось, и пользователь теряет не на цифре, а на времени.

Есть и более неприятный сценарий: курс сам по себе хороший, но путь к нему слишком хрупкий. Например, заявка обрабатывается вручную, окно фиксации короткое, правила обновляются в процессе, а любое отклонение по сумме или времени уже меняет итог.

С точки зрения интерфейса всё выглядит честно: цифра показана. Но с точки зрения пользователя это часто превращается в когнитивную ловушку. Он уже увидел «выгоднее» и перестал смотреть на остальное.

Поэтому в финансовых и криптосценариях цена ошибки почти всегда выше, чем кажется. Пользователь сравнивает курс как витрину, хотя по факту ему нужно сравнивать весь маршрут операции: что спишется, сколько дойдёт, когда дойдёт, при каких условиях и насколько предсказуем будет итог.

Именно здесь появляется главный парадокс: иногда курс чуть хуже на старте, но итоговая операция оказывается выгоднее, быстрее и спокойнее. А иногда «лучший курс» на экране это просто самый дорогой способ ошибиться.

Если смотреть шире, проблема не в самом курсе. Проблема в том, что пользователь принимает решение по одному параметру в сценарии, где значимы сразу пять или шесть.

Поэтому «лучший курс» в цифровых переводах — это не гарантия выгоды, а всего лишь одна из переменных. И без контекста она часто работает против самого пользователя.

Представлена подборка из 200 зарубежных IT-компаний с российскими корнями (и не только), которые нанимают русскоязычных кандидатов. В таблице по каждой компании добавлены дополнительные данные — локация, персонал, ссылки на вакансии, рынки работы.

Версия сборника в PDF формате.

Версия сборника в табличном формате.

Уважаемый hh.ru!

К сожалению, в настоящий момент я не готов пригласить Вас на дальнейшее интервью в качестве кандидата в инструменты для поиска и обработки вакансий. Я внимательно ознакомился с Вашим возможностями и интерфейсом и, возможно, вернусь к Вашей кандидатуре, когда у меня возникнет такая потребность, а вы будете более заинтересованы в своих пользователях.

Без особого уважения, Увидимся.

🎙Как найти работу в 2026 году и не сойти с ума?

Представь: рынок труда кипит, как котелок с трендами, а ты в поиске идеальной вакансии. Что происходит на самом деле?🔥

Три спикера из КОРУСа поделились ценными инсайтами:
🔘 Катя Каморина, HR-директор в MONS, разобрала общую картину рынка труда и подсказала, как не нарваться на фейки.
🔘 Даниэль Ануприенко, менеджер по управлению персоналом, вскрыл главные ошибки соискателей: почему массовые отклики — это вчерашний день, и как выделиться по-настоящему.
🔘 Настя Сигуа, HR BP в ROXIT, окунулась в психологию процесса: как не сломаться от отказов (спойлер: отказ ≠ «ты плохой»), и почему иногда мы сами отгоняем заветный оффер.

Ведущая подкаста — Юля Скируха, маркетолог HR-бренда в КОРУСе.
➡️ Слушай подкаст по ссылкам: первая часть, вторая часть.

И скачивай карьерный гайд по ссылке.

#talk_it_easy

Причиняй себе по одной пользе в день.

Я вижу, как над людьми нависает напряжение. Горизонт планирования сузился с лет до месяцев. При этом у многих так же остается потребность и желание следить за собой. Но контроль словно уходит. И сегодня особенно хочется дать вам не еще одну большую цель, а маленькую опору.

Сейчас точно не время пытаться стать новым человеком, полностью перестроить режим и наладить всё раз и навсегда.

Сейчас важнее начать снова чувствовать себя человеком, который о себе не забыл, перестал жить на автопилоте, вернул себе маленькие меры влияния на свою жизнь.

Поэтому приглашаю вас присоединиться к 15-дневному челленджу.

Это 15 дней не для того, чтобы “починить жизнь”, а для того, чтобы чуть-чуть вернуть себе немного присутствия в собственной жизни. 15 дней побыть на своей стороне.

Каждый день мы будем причинять себе по одной маленькой пользе в день. Без загруза и грандиозных планов, и конечно без стыда за невыполненные обещания себе!

Просто одна посильная польза в день, чтобы совсем не расплыться.

Формат будет короткий и человеческий, реально выполнимый для каждого. Вы даже удивитесь, насколько просты задания. Но именно такие маленькие действия и возвращают то самое чувство контроля и управления собой, которое начинает теряться и забываться в этом балагане.

Как всё будет проходить?

В течение 15 дней я буду присылать в отдельный Telegram-канал по одному заданию в день.

Если с Telegram неудобно, будет и вариант через email-рассылку.

Участие бесплатное.

Но будет и один дополнительный тариф с приятными плюшками, для тех, кто точно хочет дойти до конца. Про него расскажу завтра. Завтра же дам ссылку на форму для тех, кто захочет участвовать через email.

А пока можете просто подключаться к каналу: https://t.me/+6u_1mAZPIL5iMjJi

Буду рад вас там видеть.

Начинаем в следующий понедельник!

В десятках плагинов WordPress обнаружены бэкдоры, затронувшие сотни тысяч сайтов

В апреле 2025-го сотни тысяч сайтов на WordPress оказались скомпрометированы через обновление плагинов.

Исследователь Austin Ginder раскопал классическую supply chain attack — но с одним нестандартным элементом:
адрес командного сервера хранился в смарт-контракте Ethereum.

Разберём, что тут действительно интересно с технической точки зрения, а что — просто грамотная упаковка старых приёмов.

Что произошло — хронология

В начале 2025 года анонимный покупатель на Flippa приобрёл компанию Essential Plugin — разработчика популярных WordPress-расширений.

По данным Ginder Security, суммарная установочная база превышала 200 000 сайтов.

Спустя несколько месяцев в обновление были внедрены изменения:

• добавлен файл wp-comments-posts.php (мимикрия под стандартный wp-comments-post.php)

• модифицирован wp-config.php — добавлена загрузка внешнего payload

Бэкдор не активировался сразу.
Он находился в спящем режиме, а затем был запущен спустя несколько месяцев.

📌 Это важный момент: атака была рассчитана на доверие и время, а не на мгновенный эффект.

Почему Ethereum — это не «блокчейн ради хайпа»

Обычно инфраструктура C2 (command & control) строится на:

• доменах

• IP-адресах

➡️ Их можно заблокировать — и атака теряет управление.

Здесь подход другой:
бэкдор запрашивает адрес C2 из блокчейна Ethereum.

Что это даёт атакующему

• Неубиваемость Нельзя «отключить» Ethereum или удалить контракт

• Мгновенная ротация Новый C2 публикуется через транзакцию

• Анонимность Данные публичны, но владелец кошелька — нет

💡 Важно: это не новая техника.

Подобные схемы фиксировались ещё в 2018 году (например, в исследованиях Akamai),
но их использование в массовых supply chain атаках — редкость.

Три грабли, которые сделали атаку успешной

1. Рынок плагинов — это дикий запад

WordPress не верифицирует смену владельца плагина.

Купил проект → получил:

• доступ к репозиторию

• доступ к обновлениям

• доверие пользователей

Без дополнительных проверок.

📊 По данным WPScan:
в 2024 году было более 1500 уязвимостей в плагинах.

Но здесь уязвимости не нужны.
Ты сам становишься разработчиком.

2. Автообновления включены по умолчанию

Большинство сайтов обновляют плагины автоматически.

Что это означает на практике:

• никто не смотрит diff

• никто не читает код

• никто не проверяет изменения

Бэкдор приезжает вместе с «фиксами безопасности».

3. Мимикрия под системные файлы

wp-comments-post.phpwp-comments-posts.php

Разница — одна буква.

И этого достаточно.

Это не уязвимость системы.
Это social engineering на уровне файловой структуры.

Что реально можно сделать

Для владельцев сайтов

• Отключить автообновления плагинов

• Проверять changelog перед обновлением

• Мониторить файловую систему (OSSEC, Tripwire)

• Использовать WAF с анализом исходящих запросов

Для разработчиков плагинов

• Подписывать релизы (GPG)

• Публиковать хэши сборок

• Включить 2FA

• Ввести обязательный code review

Для WordPress как платформы

• Верификация смены владельца плагина

• Флаги «подозрительных обновлений» (смена автора, нетипичные файлы, резкие изменения структуры)

Если честно

Атака выглядит сложной, но по сути:

• supply chain через покупку — известный вектор

• Ethereum как C2 — не новая идея

• спящий режим — вопрос дисциплины

👉 Это не прорыв. Это комбинация рабочих техник.

Главный вывод

Проблема не в блокчейне.
И не в конкретной уязвимости.

Проблема — в экосистеме WordPress:

• полное доверие к обновлениям

• отсутствие контроля ownership

• слабая прозрачность изменений

Вопрос к сообществу

Кто сталкивался с аудитом WordPress-плагинов при покупке бизнеса?

Есть ли вообще практика:

• code audit перед M&A

• проверка supply chain рисков

• анализ истории изменений

Или всё до сих пор держится на доверии?

Selectel начисляет до 30 000 бонусов на облачные сервисы

Привет, Хабр! Если вы ИП или юрлицо и ранее не использовали облачные базы данных или Managed Kubernetes в Selectel — можете получите до 30 000 бонусных рублей на тест этих продуктов.

Сервисы позволяют:

✔️ повысить стабильность высоконагруженных сервисов,

✔️ сократить время на релиз новых продуктов,

✔️ уменьшить расходы на IT-инфраструктуру.

Чтобы получить грант, нужно создать тикет от юридического лица или ИП с описанием нужной конфигурации — и мы начислим до 30 000 бонусов на облачные базы данных и Managed Kubernetes в Selectel.

Продукт готов. Уже восемь месяцев.

— Я почти готов к запуску. Осталось чуть-чуть докрутить.
Я: Когда ты это впервые сказал?

— Месяцев восемь назад примерно.
Я: Что докручивалось всё это время?

— Сначала лендинг не нравился. Потом описание. Потом структура. Потом снова тексты. Сейчас вот логотип.
Я: Сам продукт менялся за эти восемь месяцев?

— Нет. Продукт готов был ещё в начале.
Я: То есть восемь месяцев ты занимался упаковкой уже готового продукта?

— Когда ты так говоришь — звучит странно.
Я: Как ты это называл внутри?

— «Довожу до ума». «Хочу сделать по-человечески». «Не хочу выпустить сырое».
Я: Если бы продукт был на три из пяти — запустил бы?

— Нет.
Я: Сейчас он на сколько?

— Честно? На четыре с плюсом.
Я: В чём тогда проблема?

— Хочу пять.
Я: Пять появится после первых десяти пользователей. Не до них.

— В смысле?
Я: Продукт дорабатывается на реальных пользователях. Не в голове автора в два часа ночи. Ты сейчас полируешь интерфейс, который ещё никто не трогал руками.

— Но если выйдет плохо — это репутация.
Я: Восемь месяцев без релиза — это тоже репутация. Только внутренняя. Ты уже сам себе не веришь, что выйдет.

— Неприятно слышать.
Я: Поставь дату релиза. Не «когда будет готово». Конкретную дату в календаре.

— А если не успею всё докрутить к тому времени?
Я: Выпусти то, что есть. Потому что «ещё чуть-чуть» — это давно не про качество продукта. Это про страх оценки. Продукт готов. Ты — пока нет.

Вебинар: от Pod Security Standards к полноценной модели безопасности подов в Deckhouse Kubernetes Platform

Pod Security Standards ограничивают privileged-контейнеры, hostPath и capabilities. Однако реальные риски безопасности шире. Неконтролируемые registry, отсутствие лимитов на ресурсы, образы без фиксированных тегов, контейнеры без health-проверок — всё это расширяет поверхность атаки. 

28 апреля в 12:00 на вебинаре Deckhouse Академии разберём, как выстроить полноценную модель безопасности пода средствами Deckhouse Kubernetes Platform:

• как SecurityPolicy и OperationPolicy в DKP закрывают то, что PSS оставляют открытым;

• как Gatekeeper превращает декларативные политики в версионируемый код, который можно проверить в CI/CD;

• почему платформенный механизм проще и надёжнее подхода «договариваться о безопасности с каждой командой».

Зарегистрироваться на вебинар →

Save the date: встречаемся 22 апреля на iOS Meetup Wildberries & Russ

22 апреля в 19:00 мск приглашаем на iOS-митап. В программе три технических доклада и нетворкинг с инженерами, которые ежедневно строят мобильную разработку в Wildberries & Russ. Поговорим про автоматизацию релизного процесса, масштабируемое UI-тестирование и тонкости работы с файловой системой iOS.

Регистрация

Доклады:

— Автоматизация релизов в Wildberries | Севастьян Жуков, Deploy Lab Team Lead

Как команда с нуля создала инструмент для управления релизным процессом мобильного приложения и масштабировала его на другие продукты компании. Разберём этапы автоматизации и работу с App Store API: управление релизами и отслеживание их статуса.

— UI-тестирование приложения Wildberries | Руслан Колчаков, iOS TestLab Lead и Валерий Карачаков, iOS TestLab Dev

Руслан расскажет про вызовы при организации тестирования, инфраструктуру и метрики здоровья TestLab. Валерий дополнит докладом про распределённое UI-тестирование на динамически формируемом кластере раннеров: как избежать простоев, эффективно утилизировать ресурсы и ускорить тестирование.

— Работа с файловой системой на iOS | Александр Игнатьев, iOS-разработчик команды Асто

Разберём нюансы работы с файлами, структуру iOS Sandbox и App Group как способ выйти за её пределы.

⏹️Формат: офлайн в Москве + онлайн-трансляция

Регистрация

Вышла пятая версия открытого проекта windows95 с исходным кодом полностью на JavaScript. «Это Windows 95, работающая в приложении Electron. Да, это полная версия. Извините», — пояснил разработчик решения.

Проект работает в Windows, а также на macOS и Linux, что подарит вам ностальгию или возможность обойти ограничения старой операционной системы независимо от вашей текущей платформы.

6 бесплатных уроков апреля по искусственному интеллекту

16 апреля, четверг:

• 20:00. «Архитектура ИИ-сервисов для High-Load и Low-Latency инференса»
  ^{Открытый урок курса «ИИ-архитектор»}

• 20:00. «ИИ для тестировщика: инструменты, которые уже меняют профессию»
  ^{Открытый урок курса «Автоматизатор тестирования на JavaScript»}

22 апреля, среда:

• 20:00. «Bun + ИИ: создаём быстрый сервер нового поколения на JavaScript (Bun — современная среда выполнения JavaScript; ИИ — искусственный интеллект)»
  ^{Открытый урок курса «Node.js разработчик»}

• 20:00. «Создание нейро-сотрудника на базе Telegram-бота и GPT: от регистрации до рабочего прототипа»
  ^{Открытый урок курса «Диалоговые боты и голосовые помощники»}

23 апреля, четверг:

• 20:00. «Что нового в Spark 4.0»
  ^{Открытый урок курса «Spark-разработчик»}

29 апреля, среда:

• 20:00. «Деревья решений для задач классификации и регрессии»
  ^{Открытый урок курса «Машинное обучение. Специализация»}

Готовимся к ЦТФ на примере задачи «Киберремонт киберпанциря»

ЦТФ (CTF, Capture the Flag, «Захват флага») — это соревнования, на которых в течение нескольких дней вы отвлекаетесь от рабочей рутины и пытаетесь найти «флаг» — специальную секретную информацию, которая зашита в разработанные для игры системы, заполучив которые можно только через взлом. Потому задания на соревнованиях ЦТФ имеют странные названия и не менее странные описания, ведь игра должна вырвать вас из рутины рабочих тасок, а не вогнать ещё сильнее.

При этом задачи на турнирах охватывают разные области кибербезопасности: поиск веб-уязвимостей, реверс-инжиниринг, расследование инцидентов и т.п. На примере сложной задачи «Киберремонт киберпанциря» на Альфа ЦТФ коротко пройдёмся, какие нужны знания и как думать, чтобы решать задания. Разбор пригодится 25 апреля, когда состоится Альфа ЦТФ 2026 с призовым фондом 3 100 000 рублей!

⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте.

Описание задачи:

«Вы прогуливаетесь вдоль берега и вдруг видите на песке цифры 404, а неподалёку от них — огромную черепаху. Она с грустью рассказывает, что недавно сломала свой киберпанцирь.
Теперь везде, где бы ни прошла Тортилла, остаются надписи Error 404, Page not found или Server is unavailable. Помогите черепахе починить покров: для этого разберите и заново соберите в правильном порядке все микросхемы.
Черепаха рассылала всем знакомым мастерам ссылку на схему верной сборки чипов в панцире с помощью этого сервиса — но увы, ни один ремонтник не откликнулся, а ссылка уже давно протухла.

cybershell-m7qdo6bx.alfactf.ru/»

В данной задаче нам необходимо подобрать необходимую комбинацию чипов (на панцире), чтобы получить флаг, а из условия известно, что изображение с данной комбинацией уже существовало и у изображения есть уникальный хэш картинки. 

У этой задачи есть два решения. 

№1.  Достать картинку из кэша, используя инструменты фаззинга. Фаззинг — перебор директорий, файлов, скрытых и служебных ресурсы, HTTP-запросов посредством различных инструментов вроде Param Miner, ffuf или Webalizer. Подобные инструменты хороши тем, что предоставляют статистику по всем событиям веб-сервера, например, по переходам на Телеграм-бот. Далее найти закэшированное изображение — дело техники.

Читайте статью Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей из которой подробнее узнаете о фаззинге и многих других инструментах, используемых для проверки безопасности веб-ресурсов.

№2. Второе решение — короткое — использовать Burp Suite, платформу для тестирования безопасности веб-приложений (о нём также рассказывали в статье выше). Воспользовавшись Burp Suite можно обнаружить, что токен JWT подписан с использованием общеизвестного секретного ключа HMAC. Через JWT Decoder генерируем токен для пользователя admin и получаем доступ к админской сессии. Готово.

Для решения подобных задач и успешного участия в Альфа ЦТФ вам потребуется сочетание навыков из областей Web Security и General IT.

1. Тестирование веб-приложений (Web Security):

• Фаззинг (Fuzzing): умение работать с инструментами перебора для поиска скрытых файлов, директорий и забытых бэкапов в кэше.

• Работа с прокси-инструментами: владение Burp Suite (или OWASP ZAP) для перехвата и анализа HTTP-трафика, подмены параметров и поиска уязвимостей в логике приложения.

2. Криптография и аутентификация:

• Работа с JWT (JSON Web Tokens): понимание структуры токена, умение декодировать его и проверять на слабые методы шифрования (например, использование стандартных ключей HMAC).

• Манипуляция сессиями: навык подделки токенов для повышения привилегий (например, получение прав admin).

3. Общие технические знания:

• Анализ условий: умение находить в тексте задания «зацепки» (упоминание протухших ссылок, хэшей или специфических ошибок вроде 404).

• Инструменты разработчика (DevTools): базовый навык просмотра кода страницы, сетевых запросов и хранилища.

⚡️ Участвуйте в Альфа ЦТФ — ждём заявки на сайте:)

Intel создаст космические процессоры для Илона Маска?

Компания Intel объявила, что поможет Илону Маску создать TerraFab — производство чипов для всех компаний миллиардера: SpaceX, Tesla и xAI. Одна из главных целей — создавать чипы для космических дата-центров, а также для земных проектов Маска. Реален ли такой союз?

Intel погрязла в неудачах с модернизацией своего производства, она пропускает технологические циклы, медленнее миниатюризирует свои чипы, из-за этого они выходят медленнее и горячее, чем у конкурентов. Казалось бы, зачем аутсайдер Илону Маску?

Дело в том, что самые современные чипы по техпроцессу 2 нм выпускаются на Тайване, на TSMC, и мощности расписаны на год вперёд между Apple, Nvidia и другими поставщиками, которым здесь и сейчас нужны 100-миллионные объёмы. С другой стороны, обещанные Илоном Маском космические дата-центры не требуют самого современного техпроцесса: на орбите повышенная радиация, и несколько большие по размеру чипы, скорее всего, лучше её перенесут. Правда, большие по размеру и тепловыделению чипы будут весить больше и потребуют более массивной системы охлаждения. Но дата-центры — это в любом случае настолько тяжёлые элементы инфраструктуры, что ни одна современная ракета не сможет их вывести за приемлемые деньги, тут расчёт может быть только на запуск в серию Starship, который будет доставлять продукцию Илона Маска на орбиту на порядок-два дешевле текущих 5000 долларов за килограмм. Если не получится снизить себестоимость вывода в космос полезной нагрузки, то масштабные дата-центры на орбиту выводить никто не будет.

Для автопилота (Tesla) и моделей ИИ (xAI) желательно иметь самые современные чипы, но тут небольшое отставание в техпроцессе будет компенсировано тем, что компании Илона Маска станут первоочередным партнёром для Intel. Компания последние 5 лет старается найти клиентов на стороне, но ей явно не хватает инновационного задора Маска, чтобы сделать свои технологии привлекательными.

При таком раскладе останется доволен и Дональд Трамп, так как основные производственные фабрики Intel находятся в США, а значит, рабочие места и производство не покинут страну. Осталось, чтобы сложились все «если», которых в этой ситуации предостаточно.

Голем: как в нём устроен анализ кода

В прошлый раз я рассказал про Голема — кодинг-агента в Telegram. Сейчас хочу показать, что у него под капотом. А именно — как работает анализ кода.

Первая версия была примитивной: весь код летел в LLM, та читала и выдавала вердикт. Работало паршиво. LLM галлюцинировала про «обрезанные функции», жрала токены как не в себя, а если проект был больше пары файлов — просто захлёбывалась.

Нужно было что-то менять.

Гибридный анализ: четыре утилиты вместо одной LLM

Теперь перед тем, как отдать код модели, его прогоняют четыре статических анализатора:

bandit, ruff, semgrep, pip_audit = await asyncio.gather(
    run_bandit(project_dir),      # безопасность
    run_ruff(project_dir),        # стиль и баги
    run_semgrep(project_dir),     # глубокий анализ
    run_pip_audit(project_dir)    # зависимости
)

Каждая утилита отвечает за свою область:

• Bandit ищет уязвимости безопасности: SQL-инъекции, использование eval(), хардкод паролей.

• Ruff проверяет стиль и очевидные ошибки: неиспользуемые импорты, синтаксис, голые except.

• Semgrep находит сложные паттерны: XSS, утечки данных, опасную десериализацию.

• pip-audit сверяет зависимости с базой CVE и сообщает о дырявых пакетах.

Все четыре запускаются параллельно через asyncio.gather. На проекте среднего размера это занимает 10-15 секунд вместо 40-50 при последовательном запуске.

LLM получает только проблемные строки

Раньше модель получала первые 1000 символов из каждого файла. Это приводило к двум проблемам: дикий перерасход токенов и галлюцинации. LLM видела обрывок функции и думала, что код незавершённый.

Теперь всё иначе. Анализаторы возвращают конкретные проблемные строки, и модель получает только их с контекстом в 3-4 строки вокруг:

# main.py:42 — Bandit HIGH
query = f"SELECT * FROM users WHERE id = {user_input}"  # SQL-инъекция

Результат:

• Расход токенов сократился в 10 раз.

• Галлюцинации про «незавершённый код» исчезли полностью.

• Анализ работает одинаково быстро на проекте из 10 файлов и из 500.

Асинхронный режим

ZIP-архивы и GitHub-репозитории анализируются в фоне. Пользователь отправляет файл и сразу получает ответ «анализ запущен», а результат приходит отдельным сообщением через минуту-две. Бот не висит, можно продолжать с ним работать.

asyncio.create_task(
    _analyze_directory_async(context, temp_dir, source, llm, user_id)
)
await update.message.reply_text("🔍 Анализ запущен в фоне")

Что дальше

Сейчас Голем умеет анализировать только Python-проекты. В ближайших планах:

• Поддержка JavaScript/TypeScript (ESLint + npm audit)

• Поддержка Go (golangci-lint + govulncheck)

• Поддержка Rust (clipp +cargo-audit )

Также хочу добавить команду /fix — автоматическое исправление проблем, которые находит Ruff. Часть ошибок можно починить без участия человека, и Голем будет делать это сам.

Попробовать

Бот живёт в Telegram: @Golem666bot
Там же можно посмотреть другие проекты и следить за разработкой: @system_develope