Путешествие к центру Spring Security

Java / Programmin

Я вас категорически приветствую, дорогие хабравчане! В этой статье я хотел бы поглубже разобрать такую штуку как Spring Security, а в частности Security фильтры, как они работают в целом и как объединяются в цепочку ApplicationFilterChain.

Скажу сразу, эта статья является скорее финальной точкой моего ночного дебагинга кишочков Spring Security, а также одной из основных целей этой статьи является закрепление знаний, которые я получил. Но это не отменяет тот факт, что статья кому-то (и я уверен что многим) будет полезна. Поехали.

Проблема

Для начала я обозначу проблему, с появлением которой я и начал столь интересный путь по стектрейсу в дебаггере. На проекте, над которым сейчас мы с командой работаем понадобилось прикрутить сервис авторизации. Не долго думая и собрав в кучу все требования, было принято решение поднять сервис, поддерживающий OAuth2 стандарт, а именно Keycloak. Этот сервис довольно популярен и по его настройке скопилось немало экспертизы. А также у коллег из других команд был опыт по развертыванию и настройке Keycloak. В общем, остановились на нем. Как гласит документация, в Keycloak поддерживается интеграция со Spring Security, поэтому проблем возникнуть не должно, НО…

После поднятия самого Keycloak сервера и конфигурирования Realm’a, Client’a юзеров и т. д., мы начали прикручивать авторизацию в наши микросервисы. Исходя из мануала, настройка Keycloak довольно проста (не входит в тему этой статьи). Но что же мы за программисты такие, если не хотим это дело как-то кастмизировать. Добавляем зависимости.

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/A34wfl5

На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

news

Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.

from OpenNews.opennet.ru: События https://ift.tt/G0jweWh

Самые криповые случаи с ИИ: что пугает в нейросетях помимо того, что они отберут у нас работу? Часть 1

Uncategorized


Нейросети переживают настоящий бум, восторгающий одних и вызывающий опасения у других. Их стремительный прогресс делает будущее труднопредсказуемым — человечество в очередной раз создало технологию, которая может изменить очень многое за довольно-таки небольшой срок.

Каким окажется будущее уже через 5–10 лет благодаря повсеместному внедрению нейросетей — вряд ли сможет предсказать даже самый мудрый футуролог и прогнозист: скорее всего, влияние будет обширным, крайне разнообразным и очень комплексным. Достаточно сказать, что нейросети уже есть, а буквально напрашивающегося жанра нейропанка всё ещё почти что нет. Прогресс, ещё недавно казавшийся притормозившим, снова опережает фантазии — как уже не раз бывало в истории человечества.
Читать дальше →

The following blog post Самые криповые случаи с ИИ: что пугает в нейросетях помимо того, что они отберут у нас работу? Часть 1 is available on Хабр / Посты с меткой «google»

Сказка о типизации

Java / Programmin

В некотором царстве, в некотором государстве жил был царь. Как-то раз объявил царь всему народу – “Кто решит три моих задачки, тот сам сможет царём стать”. И даже контракт метода опубликовал, всё честь по чести.

Это только присказка, сказка будет впереди

from Java – Объектно-ориентированный язык программирования https://ift.tt/aIcAyq5

Уязвимости в Apache OpenOffice

Uncategorized

Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14).

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/2Tuqiko
via IFTTT

Docker Hub отменил решение об упразднении бесплатного сервиса Free Team

news

Компания Docker объявила об отмене ранее принятого решения о прекращении действия сервиса по подписке “Docker Free Team”, позволяющего организациям, курирующим открытые проекты, бесплатно размещать образы контейнеров в каталоге Docker Hub, организовать работу команд и использовать приватные репозитории. Сообщается, что пользователи “Free Team” могут продолжить работу в прежнем режиме и не опасаться ранее намеченного удаления их учётных записей.

from OpenNews.opennet.ru: События https://ift.tt/Ffq3mML

GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий

Uncategorized

GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Утечка коснулась только ключа RSA, хостовые SSH-ключи ECDSA и Ed25519 продолжают оставаться безопасными. Попавший в открытый доступ хостовый SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH.

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/LVjPv2E
via IFTTT

Модульные тесты как оплот стабильности в Agile разработке

Java / Programmin

В этой статье мы рассмотрим ту часть тестирования, которой не касаются специалисты по тестированию — модульные тесты. Почему же при Agile так необходимо иметь качественное покрытие модульными тестами? Раскроем их положение в цикле разработки и цели их создания. Рассмотрим различные варианты оценки качества покрытия тестами при разработке backend приложения на языке Java с использованием Spring-boot. С помощью Jacoco построим отчет и увидим недостатки численных оценок покрытия тестами. Сформулируем субъективные оценки модульного тестирования и советы по их разработке.

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/Vwp4TKQ

Уязвимость в OverlayFS, позволяющая повысить свои привилегии

Uncategorized

В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/8HO6tb0
via IFTTT

Как я учился языку JAVA на Яндекс платформе

Java / Programmin

Вот наконец я созрел для написания отзыва о своей учебе в Яндекс практикуме на потоке Java программировании. Долго не мог и не хотел оставлять отклик по учебе, думаю он был бы не совсем корректным. Теперь, когда утихли первые и последние эмоции, думаю можно.   Итак, прежде чем описать свое мнение, ведь все что будет написано является сугубо субъективным, пропущенным через мой опыт и чувства, поэтому маленькое предисловие: немного о себе, это важно с точки зрения дальнейшего описания событий. Образование высшее медицинское, стаж работы на врачебных должностях, в том числе и заведующим отделением обширный, к тому же имею педагогическое образование и стаж преподавания семь лет. Это все к тому, что я понимаю о чем говорю и пишу в своем отзыве. А также для тех, у кого образование гуманитарий. Одно дела переучиваться людям с техническим образованием на программиста, а другое без такового. И последняя ремарка, сравнивать не с чем, пока на других платформах не пытался учиться, обзор будет сугубо о платформе Яндекс практикум,  и наверно будет отзыв не совсем честен, так как к началу обучения я самостоятельно в течение шести месяцев изучал данный вопрос, к моменту обучения представлял, что такое ООП (объектно-ориентированное программирование), в целом имел представление об языках программирования, а также изучил наизусть основы программирования java по книги «Java Полное руководство» Герберт Шилдт 10-е издательство и спокойно пользовался технической документацией по Java SE 11 на тот момент.

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/kPYOACi

Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя

Uncategorized

Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена уязвимость (CVE-2023-28686), позволяющая неавторизированному пользователю через отправку специально оформленного сообщения организовать добавление, изменение или удаление записей в персональных закладках другого пользователя без необходимости совершения жертвой каких-то действий. Кроме того, уязвимость позволяет изменить отображение групповых чатов или принудительно подключить или отключить пользователя от определённого группового чата, а также ввести пользователя в заблуждение для получения доступа к конфиденциальной информации.

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/kniqUme
via IFTTT

Выпуск проприетарного драйвера NVIDIA 530.41.03

news

Компания NVIDIA представила выпуск новой ветки проприетарного драйвера NVIDIA 530.41.03. Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 530.x стала четвёртой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из состава NVIDIA 530.41.03, а также используемые в них общие компоненты, не привязанные к операционной системе, опубликованы на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными.

from OpenNews.opennet.ru: События https://ift.tt/G6blvks

Универсальный загрузчик XML на java. Или как загрузить файлы ГАР на 250 гб и остаться при памяти

Java / Programmin

С проблемой загрузки больших XML столкнулся при переходе с КЛАДР и ФИАС на справочники ГАР – Государственный адресный реестр (Федеральная информационная адресная система).

Справочник ГАР содержит более подробную информацию чем предыдущие классификаторы. В том числе информацию по муниципальным делениям. В связи с чем справочник после распаковки занимет около 250 ГБ, что примерно в 3 раза больше чем тот же ФИАС.

Предыдущая загрузка работала на DOM-модели, т.е. весь XML-файл считывался в память. Соответственно при попытке загрузить ГАР таким же способом стали стабильно получать OutOfMemory. А значит настало время менять подход к загрузке)

Немного теории:

DOM (Document Object Model) – это стандартный интерфейс для работы с документами в формате XML (Extensible Markup Language). DOM-модель представляет XML-документ в виде дерева объектов, где каждый элемент и атрибут документа является узлом дерева.

SAX (Simple API for XML) является событийно-ориентированным API для чтения XML-документа. Он предоставляет возможность читать XML-документ последовательно и обрабатывать события, такие как начало и конец элемента, содержимое элемента и т.д.

StAX (Streaming API for XML) также является API для последовательного чтения и записи XML-документов. Он предоставляет потоковый доступ к XML-документу, позволяя читать его и записывать по частям. StAX предоставляет возможность читать и записывать XML-документы в виде потока событий, аналогично SAX, но также предоставляет возможность читать и записывать XML-документы в виде итерируемых наборов событий. StAX позволяет эффективно обрабатывать большие XML-документы и не требует реализации обработчиков событий.

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/KYWUgF4

Возможность восстановления части скриншотов, кадрированных на смартфонах Pixel

Uncategorized

В приложении Markup, применяемом в смартфонах Google Pixel для кадрирования и редактирования скриншотов, выявлена уязвимость (CVE-2023-21036), позволяющая частично восстановить обрезанную или отредактированную информацию. Проблема проявляется при редактировании в Markup PNG-изображений и вызвана тем, что при записи нового изменённого изображения данные накладываются на старый файл без его усечения, т.е. полученный после редактирования итоговый файл включает хвост исходного файла, в котором остаются старые сжатые данные.

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/9dZSCOI
via IFTTT

Mozilla запустила проект Mozilla.ai для развития открытых систем машинного обучения

news

Компания Mozilla учредила стартап Mozilla.ai и инвестировала в него 30 млн долларов. Целью создания Mozilla.ai называется построение экосистемы для упрощения разработки заслуживающих доверия, независимых и открытых проектов, связанных с машинным обучением и искусственным интеллектом. Стартап намерен объединить единомышленников, считающих, что связанные с искусственным интеллектом разработки должны быть прозрачны, контролируемы и открыты.

from OpenNews.opennet.ru: События https://ift.tt/fNpiFYE

Полное руководство по switch в Java

Java / Programmin

Старый добрый switch был в Java с первого дня. Мы все используем его и привыкли к нему — особенно к его причудам. Но теперь все начинает меняться!

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/FYmnQ8I

Выпуск браузера Pale Moon 32.1

Uncategorized

Опубликован релиз web-браузера Pale Moon 32.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).

from OpenNews.opennet.ru: Основная лента https://ift.tt/nekKTsi
via IFTTT

Арбитражный апелляционный суд оставил в силе штраф на ₽2 млрд к Google

Uncategorized

Арбитражный апелляционный суд оставил решение об оборотном штрафе в отношении Google на ₽2 млрд в силе. Об этом сообщила Федеральная антимонопольная служба (ФАС).

Читать далее

The following blog post Арбитражный апелляционный суд оставил в силе штраф на ₽2 млрд к Google is available on Хабр / Посты с меткой «google»

Мой шаблон Android приложения для Pet-проектов

Java / Programmin

Приветствую всех любителей покодить)

В течении года разработки небольшого приложения я рефакторил код, что-то менял, удалял, добавлял и пришел к интересной комбинации различных практик и решений, которая впоследствии стала шаблоном для собственных Pet-проектов.

Читать далее

from Java – Объектно-ориентированный язык программирования https://ift.tt/VRYJKWE

Back to Top