Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
С 16 по 27 мая у всех желающих будет возможность изучить сервис каршеринга Яндекс.Драйв, запущенный в феврале текущего года, на предмет уязвимостей. Можно попытаться изменить логику работы сервиса, снизить цену поездки, получить доступ к персональным данным пользователей или, например, открыть машину, когда сервис это запрещает. Победители получат денежные призы.
Для участия потребуется зарегистрироваться здесь и приехать в московский офис Яндекса. Там, на парковке бизнес-центра «Мамонтов» (по адресу ул. Льва Толстого, д.14Ас2), исследователей ждут три автомобиля Яндекс.Драйва. Пользоваться предложенными автомобилями можно дважды, по два часа подряд, либо можно сразу провести один четырехчасовой сеанс.
Участвовать в конкурсе можно как в одиночку, так и командой до трех человек. Разбирать машину Яндекс.Драйва или подключаться к ней с помощью кабеля запрещено. Кроме того, участникам потребуется аккаунт Драйва — по одному на команду. Регистрация в сервисе под этим аккаунтом должна быть пройдена полностью.
Победителей выберут сотрудники Яндекс.Драйва и службы информационной безопасности Яндекса. В первую очередь при выборе будет учитываться критичность найденных проблем, а не время поиска. Награждение состоится 29 мая, в рамках ежегодной конференции Яндекса Yet another Conference, в зале «Информационная безопасность». При желании можно будет продемонстрировать использованные эксплоиты гостям конференции. Призовой фонд конкурса распределится следующим образом:
Специалисты Яндекса объясняют, что машина Драйва или другого подобного сервиса отличается от обычной тем, что в ней установлен специальный блок телематики. С одной стороны, он подключен к устройству управления всей электроникой автомобиля — так называемой CAN-шине. С другой, блок находится на постоянной связи с сервером телематики. Сервер анализирует полученные с блока данные и отправляет обратно сигналы управления: открыть или закрыть автомобиль, включить зажигание, завершить аренду и др. Все перечисленные действия согласовываются с основным клиентским бэкендом, где работает биллинг, а также хранится база всех клиентов и заказов. Приложение на вашем телефоне, в свою очередь, тоже взаимодействует с клиентским бэкендом.
В Яндекс.Драйве существует и еще один компонент — платформа Яндекс.Авто для мультимедиа-систем с голосовым управлением. В нее встроен Навигатор, Музыка и Радио. Поскольку платформа работает с пользовательскими данными, мы стараемся делать все возможное, чтобы они были в безопасности и корректно удалялись с устройства между сессиями аренды.
Использование GPRS и EDGE
До недавнего времени каршеринговые компании — и в России, и за рубежом — использовали блоки телематики, которые исходно не предназначались для контроля за передвижением автомобилей по городу. Первопроходцы отрасли приспособили под свои нужды уже существующие устройства для сопровождения грузовиков, бензовозов, тракторов и другой тяжелой техники. Фирма, которая занималась, скажем, сельским хозяйством, могла узнать, где находится трактор, оценить скорость движения и отправить трактористу сообщение о том, что нужно ускориться.
В случае с тяжелой техникой блок телематики не считывал с CAN-шины столько же данных, как в каршеринге, и это происходило с меньшей периодичностью. Как следствие, для пересылки данных хватало 2G-модема. Канал сотовой связи 2G не только легко перехватывается (например, через поддельную базовую станцию, позволяющую подменить сигналы управления автомобилем), но и наиболее уязвим при падениях сотовой сети. Провайдеры знают, что большинство клиентов уже перешли на 3G- и LTE-устройства, считают 2G скорее техническим каналом и в случае проблем восстанавливают его в последнюю очередь. Удобная аренда накладывает иные требования — в блоках появилась поддержка LTE.
Кроме того, старые блоки позволяли наблюдать за техникой, но не управлять ей. Возможность удаленного управления машиной тоже требует дополнительных механизмов безопасности, причем не только в части защиты устройств, но и в различных интерфейсах.
Отсутствие шифрования
Блоки для тяжелой техники несовершенны еще и потому, что обладают слабой производительностью. В них нет процессора, способного поддерживать зашифрованное соединение с сервером — все управление машиной происходит через незащищенный канал. Современные блоки позволяют решить и эту проблему тоже.
Отсутствие надежности уровня больших IT-компаний
Google, Яндекс и другие игроки привыкли всеми силами обеспечивать стабильность работы сервисов. Например, распространена репликация: когда какой-нибудь из дата-центров перестает отвечать из-за аварии, то пользователи — благодаря копиям своих данных в других дата-центрах — ничего не замечают. Фирмы, которые занимаются только каршерингом, реже применяют репликацию.
Кроме того, 29 мая 2018 года компания Яндекс приглашает всех желающих посетить секцию «Информационная безопасность» на вышеупомянутой конференции Yet another Conference 2018, которая состоится в спортивном комплексе «ВТБ Ледовый дворец». Прийти могут даже те, кто не собирается искать уязвимости в каршеринге Яндекс.Драйв ?
На секции «Информационная безопасность» расскажут о том, как организовать межсервисную аутентификацию, построить защиту от фрода и избежать утечек приватных данных через умные акустические системы. К спикерам из Яндекса присоединятся специалисты из Naver (Южная Корея) и Rakuten (Япония).
Ознакомиться с программой конференции можно на официальном сайте мероприятия, а зарегистрироваться на секцию «Информационная безопасность» можно здесь.
|
|