Рубрика: Интернет-безопасность

Зачем вообще нужны CSP, COOP и COEP Проблема смешанной компоновки страниц Когда страница тянет к себе кучу скриптов, виджетов и фреймов из разных мест, она превращается в общий двор: кто угодно может подсмотреть данные, помешать работе или украсть токен сессии. Браузеры по умолчанию довольно доверчивы, поэтому без дополнительных правил любая интеграция с внешним контентом увеличивает…

Почему CSRF до сих пор опасен для SPA CSRF‑атака выглядит почти невинно: пользователь авторизован в браузере, злоумышленник подсовывает ему ссылку или невидимую форму, браузер сам добавляет cookies авторизации — и на сервер уходит «легальный» запрос. Для классических сайтов это давно известная проблема, но защита от csrf в веб приложениях с архитектурой SPA усложняется тем, что…

Почему XSS и CSRF до сих пор ломают даже «прокачанные» проекты Если опросить разработчиков, почти каждый скажет, что про XSS и CSRF он «давно всё знает». А потом открываешь реально живой код и видишь: пользовательские данные вставляются в HTML без экранирования, токены живут в localStorage, а настройки безопасности браузера вообще не тронуты. Отсюда простой вывод:…

Исторический контекст: как браузер оказался «стражем» IoT Если оглянуться назад, лет пятнадцать браузер был просто «окном в интернет». Вся защита крутилась вокруг антивирусов и файрволов, а сами IoT‑гаджеты только зарождались. Ситуация изменилась, когда производители начали массово выводить на рынок «умные» лампы, камеры и колонки с минимальной прошивкой и практически нулевой защитой. Примерно к 2015 году…

Почему протоколы безопасности решают всё в мобильном вебе Мобильный веб сегодня — основной вход в жизнь пользователя: личный кабинет банка, маркетплейсы, внутренние порталы компаний. Поэтому безопасность мобильных веб приложений разработка уже не про «добавить авторизацию и всё», а про системный набор протоколов, настроек и проверок. При работе через браузер на смартфоне у нас сразу несколько…

Зачем вообще думать о безопасности в CI/CD Инженеры обычно любят скорость: авто-деплой, зелёные пайплайны, минимум ручного клика. Но как только в игру вступают инструменты для тестирования безопасности в CI CD, всё это внезапно начинает тормозить, засыпать команду алертами и мешать релизам. Отсюда классический саботаж: «потом как‑нибудь подключим DevSecOps». На деле же, если встроить проверки аккуратно,…

Зачем вообще связывать ARIA и безопасность Разработчики часто воспринимают ARIA как чисто «а11y-тему»: добавить роли, подписи, подсказать скринридеру, что происходит в интерфейсе. Но за последние три года стало очевидно, что aria безопасность веб-приложений — это не абстракция, а вполне практичный вопрос. По данным WebAIM Million, в 2022–2024 годах более 60% анализируемых страниц использовали хотя бы…

Зачем вообще обновлять API для аутентификации Если кратко, старые схемы входа «логин‑пароль и куки» больше не тянут реальный интернет. Боты, фишинг, утечки баз — всё это бьёт именно по уязвимым точкам авторизации. Когда вы обновляете API для входа, вы не просто добавляете галочку «современно», а снижаете риск взлома, облегчаете жизнь разработчикам и поднимаете доверие пользователей….

Зачем вообще появился QUIC и с чего всё началось Если отбросить академические формулировки, то протокол QUIC вырос из простой боли: вебу надоело тормозить. TCP с HTTPS, куча рукопожатий, медленные мобильные сети — всё это превращало даже лёгкие сайты в черепаху. Инженеры Google начали экспериментировать с протоколом поверх UDP, который бы объединял надёжную доставку, шифрование и…

Что такое сетевые профили в облаке и зачем они вообще нужны Базовая идея на человеческом языке Давайте разберёмся без академической пыли. Сетевой профиль — это описанный в конфигурации «характер» сетевого поведения приложения: пропускная способность, задержки, приоритеты трафика, политика безопасности, маршрутизация, лимиты на соединения, поведение под нагрузкой. В контексте облака сетевой профиль связывает код, балансировщики, CDN,…