Кибербезопасность и защита данных
0 статей
Практический гайд по реализации rate limiting в Go: шесть рабочих паттернов с кодом, числами и проверками на 2025–2026 гг. Покажу, как ограничить 100 запросов/мин, как масштабировать и какие ошибки встречал на проде.
Passkeys (WebAuthn) обещают заменить текстовые пароли на криптографические ключи, но что это даёт проектам и пользователям в 2026 году. Ключевой инсайт: для потребительских сервисов с высокой текучестью пользователей — да; для сложных B2B-сценариев всё ещё нужны дополнительные механизмы и адаптация.
Argon2id — устойчивый к GPU и атаке по времени вариант Argon2; это рекомендуемый алгоритм для хэширования паролей в 2025–2026 годах. В статье показаны конкретные параметры, реализация на Go, план миграции с bcrypt и тесты производительности.
Практическое руководство по защите от CSRF в 2026 году с проверенными приёмами: SameSite, CSRF-токены, double submit и подходы для API. Пошаговые инструкции, команды проверки и примеры кода для реальных приложений.
Пошаговый guide по безопасному хранению и расшифровке секретов в git с помощью SOPS и age. Окончательный результат — зашифрованный репозиторий, готовый к CI, за 30–60 минут.
Практический гайд по внедрению OAuth 2.1 для backend-сервисов: ключевые изменения, настройка authorization code flow с PKCE, политика refresh tokens и ревокации. Примеры запросов, конфигурации Nginx и советы по хранению токенов для backend-команд в 2025–2026 годах.
Пошаговое руководство по безопасному использованию JWT в 2025–2026 годах: выбор алгоритма, экспирация, ротация ключей и реакция на утечки. Примерное время выполнения практики — 60–120 минут.
Пенетрационное тестирование API — практическая проверка, которая выявляет уязвимости на уровне аутентификации, авторизации, логики и конфиденциальности данных. Ключевой инсайт: для большинства команд достаточно сочетания Burp Suite (профессиональный фреймворк) и OWASP ZAP (бесплатный сканер) плюс целевые ручные проверки для auth и IDOR.
Реальный разбор случая, когда в публичном репозитории оказался живой секрет — как я нашёл утечку, как эскалировал проблему и какие исправления были сделаны.
Практическое руководство по предотвращению XSS-уязвимостей в приложениях на React и Next.js. Применимые техники для клиентской и серверной стороны, тесты и типовые ошибки — время выполнения: 45–90 минут.
Пошаговая реализация TOTP 2FA для SaaS на Go: генерация seed, QR-код, валидация, хранение и интеграция в CI/CD. Примерная продолжительность выполнения — 2–4 часа для разработчика с базовым опытом Go и Docker.
Короткий справочник о том, как защищать API, хранить ключи, внедрять mTLS, контролировать GraphQL и вести аудит. Подходит для разработчиков, архитекторов и DevOps-инженеров, которые готовят API к 2025–2026 годам.
Практический план защиты npm-зависимостей — шаги от аудита до подписи артефактов. Проверенные команды, примеры конфигураций и набор инструментов для 2025–2026 годов.
Пошаговое руководство по построению zero trust для сервисов, размещённых на своих серверах: от WireGuard mesh до identity-based access. Примерное время выполнения полного набора шагов — 3–6 часов.