anton@gmail.com, anton+habr@gmail.com, an.ton@gmail.com — почему всё это один и тот же имейл

Однажды у нас в CRM появились 3 загадочных клиента. С каждым вёл переговоры отдельный продавец. А потом выяснилось, что эти клиенты — один и тот же человек с одним и тем же имейлом. Меня зовут Антон Григорьев, я работаю продуктовым дизайнером в финтех-компании и веду телеграм-канал UX Notes . В этой небольшой статье я расскажу, как такое случилось, может ли произойти у вас и о чём стоит дополнительно подумать при проектировании форм регистрации и входа. Спойлер: это не связано с европейским регламентом по защите данных (GDPR) и правом клиента быть забытым (потребовать от компании удаления всей информации о себе).

https://habr.com/ru/articles/934304/

#форма_входа #форма_регистрации #электронная_почта #аутентификация #регистрация

gRPC-микросервис на tonic

Привет, Хабр! Сегодня мы рассмотрим, как поднять gRPC-микросервис на tonic и обвязать его аутентификацией плюс метриками через Tower-middleware.

https://habr.com/ru/companies/otus/articles/930778/

#микросервисная_архитектура #grpc #микросервисы #бэкенд #ProtoBuf #аутентификация #Prometheus #tracing

Использование LLM в Access Management на примере OpenAM и Spring AI

В статье представлен практический пример решения автоматического анализа настроек системы управления доступом на базе OpenAM с использованием больших языковых моделей (LLM) через API Spring AI . Мы развернем систему управления доступом, запросим у LLM проанализировать конфигурацию и вернуть рекомендации по ее улучшению.

https://habr.com/ru/articles/923430/

#openam #llm #access_management #большие_языковые_модели #аутентификация #аудит_безопасности

Почему мы строим свою технологическую платформу?

Добрый день, меня зовут Владимир Павлунин, я архитектор технологической платформы в ИТ-команде «Северстали». В компаниях часто складывается такая ситуация, что каждая команда управляет проектом по-своему: пишут код, строят системы исходя из своего опыта. В итоге — куча похожих решений, которые никак не связаны друг с другом. Происходит увеличении энтропии, сложно понять, что где сделано, еще сложнее это связать между собой. То, что можно было сделать один раз и потом переиспользовать в других проектах, делается каждый раз с нуля во всех проектах, и по-разному. Год назад наша компания столкнулась с проблемой, знакомой многим крупным организациям. Разные команды, работая над похожими сервисами, каждый раз решали одни и те же задачи: настраивали CI/CD, поднимали окружения, интегрировали мониторинг и управляли зависимостями. В результате мы получили дублирование усилий, фрагментированность подходов и значительное замедление стартовой фазы проектов. Платформа, как и правила дорожного движения, нужна для создания единого стандарта, который обеспечивает порядок, безопасность и удобство взаимодействия всех участников. Без неё возникает хаос: каждый действует по своим правилам, что приводит к конфликтам, рискам и неэффективности. Например, когда на дорогах появились ГИБДД, водители стали соблюдать правила только в присутствии инспекторов, а при их отсутствии часто позволяли себе нарушения. С внедрением автоматизации, таких как камеры контроля скорости и светофоры с датчиками, соблюдение правил стало постоянным, так как система работает всегда и везде, а не только "при виде инспектора". Это показывает, что платформа упрощает взаимодействие, делает его предсказуемым и позволяет легко адаптироваться к новым условиям, сохраняя баланс между старыми и новыми участниками системы.

https://habr.com/ru/companies/severstal/articles/923512/

#архитектура #архитектура_системы #разработка_приложений #платформа #управление_проектами #авторизация #аутентификация #ci #cd #автоматизация

Что делать с раскрытыми паролями

Согласно исследованиям, около 41% авторизаций в интернете производятся с использованием скомпрометированных паролей. Повторное использование паролей — одна из главных проблем в информационной безопасности. Пользователи используют одинаковые пароли в среднем для четырёх учётных записей на разных сайтах. Рано или поздно все пароли попадают в открытый доступ.

https://habr.com/ru/companies/globalsign/articles/923138/

#пароли #Microsoft #парольный_менеджер #аутентификация #авторизация #NIST_SP_80063 #MFA #passkeys #Digital_Identity_Guideline #NIST #стандарт #credential_stuffing

Путеводитель по Ktor JWT auth на стороне сервера

Документация Ktor по server-jwt неполна. Если необходимо сделать что-то за рамками «Hello world», придется лезть в исходники и городить костыли. Какой-то консистентности и предсказуемости ждать не стоит, возможно, не обошлось без заговорщиков . Статья покроет необходимую базу для работы с JWT и убережет от множества подводных камней.

https://habr.com/ru/articles/921076/

#ktor #backend #kotlin #jwt_auth #говнокод #авторизация #аутентификация #костыли #authorization #authentication

Intent, WebView и биометрия: как безобидные функции становятся инструментами хакеров

Из-за экономических санкций и удаления приложений из App Store и Google Play российские организации были вынуждены отойти от привычных всем репозиториев, предоставив злоумышленникам больше возможностей для обмана пользователей: загрузка и обновление приложений по внешним ссылкам даже для банковских клиентов стали привычными. Более того, пользователи ищут более удобную альтернативу известным приложениям Вдобавок ко всему люди стали активно использовать биометрическую аутентификацию как на устройствах, так и в мобильных приложениях. Биометрическая аутентификация не только облегчила жизнь пользователям, но и породила проблемы, связанные с безопасностью персональных данных и мобильных устройств в целом. Эти угрозы требуют от специалистов по безопасности постоянного анализа и разработки контрмер. Для этого необходимо знать, какие инструменты и методы используют злоумышленники. Арсенал атакующих в общем случае выглядит так : вредоносное ПО, фишинговые письма и эксплойты.

https://habr.com/ru/companies/pt/articles/920810/

#intent #webview #уязвимости #мобильные_приложения #ios #android #вредоносные_приложения #аутентификация #авторизация #биометрия

Низкий порог входа, высокий риск — как уязвимость в Lovable открыла данные тысяч пользователей

Платформа Lovable , позиционируемая как low‑code решение для создания веб-приложений и сайтов, где основное взаимодействие с системой происходит через чат с искусственным интеллектом, столкнулась с критической уязвимостью, связанной с RLS-политиками. Она позволила получать и изменять данные без аутентификации — сотни проектов оказались под угрозой.

https://habr.com/ru/articles/918180/

#lovable #CVE202548757 #уязвимость #supabase #RLS #low_code #безопасность #утечка_данных #аутентификация #Matt_Palmer

[Перевод] Проверяем написанную LLM библиотеку OAuth на уязвимости

Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider , которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic: Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic. Результаты работы Claude были тщательно проверены инженерами Cloudflare, уделившим особое внимание безопасности и соответствию стандартам. В исходный результат было внесено множество улучшений, в основном тоже при помощи промптов Claude (и с проверкой результатов). Промпты модели Claude и созданный ею код можно посмотреть в истории коммитов. […] Подчеркнём, что это не «вайб-кодинг» . Каждая строка была тщательно проверена и согласована с соответствующими RFC специалистами в сфере безопасности, уже работавшими в этими RFC. Я пытался подтвердить свой скепсис, но оказалось, что я ошибался. Я и сам в последнее время достаточно много писал подобным образом код при помощи «агентских» LLM. И я тоже специалист по OAuth: я написал API Security in Action , многие годы был членом OAuth Working Group в IETF и ранее работал техлидом, а затем архитектором безопасности в ведущем поставщике решений OAuth . (Также у меня есть степень PhD в сфере ИИ, полученная в группе изучения интеллектуальных агентов , но ещё до возникновения современного ажиотажа вокруг машинного обучения). Поэтому мне было очень любопытно, что же создала эта модель. И сегодня, сидя на паре совещаний, я решил изучить результаты. Дисклеймер: я лишь вкратце просмотрел код и нашёл несколько багов, а не выполнял полный анализ.

https://habr.com/ru/articles/916928/

#oauth #аутентификация #cloudflare #sha256