OAuth 2.0 против OpenID Connect: Танец аутентификации, о котором вы и не подозревали, что вам не хватает

Представьте себе: вы находитесь в эксклюзивном ночном клубе (назовём его «API Club»), и у входа стоит вышибала, проверяющий удостоверения личности, а внутри есть ещё один человек, контролирующий доступ в VIP-зоны. Этот вышибала — это аутентификация. Контролёр VIP-зон — это авторизация. И прекрасное взаимодействие между этими двумя концепциями — именно то, что мы сегодня рассмотрим на примере OAuth 2.0 и OpenID Connect. Если вы когда-нибудь задумывались, почему вход в каждое приложение через вашу учётную запись Google работает так плавно, или как Spotify может получить доступ к вашим друзьям из Facebook, не украв секретный рецепт печенья вашей бабушки, то сейчас вы получите ответы....

31 июля 2025 14:01 · 4 минуты · 1 слово · Maxim Zhirnov
Почему большинству разработчиков не следует писать свою собственную криптографию

Почему большинству разработчиков не следует писать свою собственную криптографию

Представьте: вы только что создали криптографический алгоритм, который, как вам кажется, невозможно взломать. Он элегантен, инновационен и — осмелюсь сказать — sexy математика. Вы внедряете его для защиты пользовательских данных, представляя себе будущие выступления на TED о своём гении. И тут… хлопок. Какой-то 17-летний подросток в подвале на другом конце света взламывает его с помощью зубочистки и вчерашних кофейных зёрен. Проверка реальности: создавать собственную криптографию — это как делать себе нейрохирургическую операцию, потому что WebMD сказал, что вы можете....

18 июля 2025 06:00 · 4 минуты · 709 слов · Maxim Zhirnov
Пузырь с низким уровнем кода 2.0: Когда гражданские разработчики создают проблемы с безопасностью

Пузырь с низким уровнем кода 2.0: Когда гражданские разработчики создают проблемы с безопасностью

Демократизация разработки приложений с помощью таких инструментов, как Bubble.io, похожа на раздачу всем электроинструментов: это революционно, пока кто-нибудь не забудет про защитные очки. В условиях стремительной сборки приложений citizen-разработчиками безопасность часто становится жертвой этой революции low-code. Давайте разберёмся, как благонамеренные создатели случайно создают цифровые минные поля и, что самое важное, как их обезвреживать. Армагеддон аутентификации Представьте, что вы оставили входную дверь незапертой, потому что «район кажется спокойным». Это слабая аутентификация в приложениях Bubble....

25 июня 2025 06:00 · 3 минуты · 610 слов · Maxim Zhirnov
Почему создавать собственную криптовалюту - все равно что выпекать суфле с помощью паяльной лампы

Почему создавать собственную криптовалюту - все равно что выпекать суфле с помощью паяльной лампы

Расскажу вам историю о моей первой встрече с сиреневатой песней криптографии. Было три часа ночи, я пил холодный кофе и был убеждён, что изобрёл нерушимый шифр, используя типы покемонов и модульную арифметику. Затем реальность ударила сильнее, чем критический удар от Чармандера 100-го уровня — моё «шедевр» было взломано стажёром во время перерыва на кофе. Сегодня мы разберёмся, почему самодельное шифрование для разработчиков — это как жонглирование живыми гранатами, с примерами кода и проверенными альтернативами....

9 июня 2025 06:00 · 4 минуты · 811 слов · Maxim Zhirnov
Почему ваш код не является водонепроницаемым (и как устранить утечки)

Почему ваш код не является водонепроницаемым (и как устранить утечки)

Представьте: вы построили прекрасный цифровой корабль, отполировали каждую доску кода и уверенно отправились в плавание по океану интернета. И вдруг — плюх — одна строчка незаэкранированного ввода топит всё ваше творение. Добро пожаловать в мир современной безопасности программного обеспечения, где мы все находимся всего в одном sudo rm -rf / от того, чтобы стать предостерегающим твитом. Дыра в вашем цифровом ведре Давайте начнём с универсальной истины — каждый разработчик считает свой код Форт-Ноксом, пока кто-нибудь не покажет ему USB-флешку за 5 долларов....

12 мая 2025 06:00 · 3 минуты · 538 слов · Maxim Zhirnov