Рубрика: Интернет-безопасность

Почему протоколы безопасности решают всё в мобильном вебе Мобильный веб сегодня — основной вход в жизнь пользователя: личный кабинет банка, маркетплейсы, внутренние порталы компаний. Поэтому безопасность мобильных веб приложений разработка уже не про «добавить авторизацию и всё», а про системный набор протоколов, настроек и проверок. При работе через браузер на смартфоне у нас сразу несколько…

Зачем вообще думать о безопасности в CI/CD Инженеры обычно любят скорость: авто-деплой, зелёные пайплайны, минимум ручного клика. Но как только в игру вступают инструменты для тестирования безопасности в CI CD, всё это внезапно начинает тормозить, засыпать команду алертами и мешать релизам. Отсюда классический саботаж: «потом как‑нибудь подключим DevSecOps». На деле же, если встроить проверки аккуратно,…

Зачем вообще связывать ARIA и безопасность Разработчики часто воспринимают ARIA как чисто «а11y-тему»: добавить роли, подписи, подсказать скринридеру, что происходит в интерфейсе. Но за последние три года стало очевидно, что aria безопасность веб-приложений — это не абстракция, а вполне практичный вопрос. По данным WebAIM Million, в 2022–2024 годах более 60% анализируемых страниц использовали хотя бы…

Зачем вообще обновлять API для аутентификации Если кратко, старые схемы входа «логин‑пароль и куки» больше не тянут реальный интернет. Боты, фишинг, утечки баз — всё это бьёт именно по уязвимым точкам авторизации. Когда вы обновляете API для входа, вы не просто добавляете галочку «современно», а снижаете риск взлома, облегчаете жизнь разработчикам и поднимаете доверие пользователей….

Зачем вообще появился QUIC и с чего всё началось Если отбросить академические формулировки, то протокол QUIC вырос из простой боли: вебу надоело тормозить. TCP с HTTPS, куча рукопожатий, медленные мобильные сети — всё это превращало даже лёгкие сайты в черепаху. Инженеры Google начали экспериментировать с протоколом поверх UDP, который бы объединял надёжную доставку, шифрование и…

Что такое сетевые профили в облаке и зачем они вообще нужны Базовая идея на человеческом языке Давайте разберёмся без академической пыли. Сетевой профиль — это описанный в конфигурации «характер» сетевого поведения приложения: пропускная способность, задержки, приоритеты трафика, политика безопасности, маршрутизация, лимиты на соединения, поведение под нагрузкой. В контексте облака сетевой профиль связывает код, балансировщики, CDN,…

Если вы когда‑нибудь ловили странные ошибки типа “Refused to load script… because of Content-Security-Policy”, значит вы уже сталкивались с CSP и его блоками. Часто это выглядит как магия: вчера всё грузилось, сегодня половина сайта “отвалилась”. На самом деле за этим стоит довольно понятная логика: браузер строго сверяет каждый скрипт, стиль, картинку и запрос с правилами…

Что такое Suborigins и зачем они вообще нужны Представьте классический сайт: один домен, один origin, куча функций — личный кабинет, админка, публичный блог, панель партнёров. Сейчас браузер видит всё это как одну зону доверия. Если злоумышленник нашёл XSS в блоге, он может теоретически добраться до куки авторизации админки или токенов API. Suborigins — это предложенный…

Зачем блогу вообще думать о Content Security Policy 3.0 Если у вас личный блог или контентный сайт, тема взломов обычно где‑то «на потом». Но статистика за последние годы говорит обратное. По сводным данным нескольких отраслевых отчётов за 2022–2024 годы, XSS и другие инъекционные атаки стабильно входят в топ‑3 причин компрометации веб‑ресурсов, занимая примерно 20–30% от…