Доброго времени суток, Уважаемый. Сейчас я постараюсь рассказать что такое Windows Hello для бизнеса и как это настроить.

Windows Hello - это система аутентификации в Windows 10, на основе PIN кода, биометрических данных или гравифеского пароля. Приставка для бизнеса значит, что все это будет работать в домене.

Почему пароль уже не очень хорошо? Потому что! Если серьезно, то можно почитать тут.

Apache сервер требует следующие 2 файла:

1. server.key - приватный ключ
2. server.crt - публичный ключ

Для того, чтобы получить нужные файлы нам понадобится Open SSL.

Заметил я как-то, что на мой уютный бложек боты повадились ходить и регистрироваться.

Боты эти не только регистрируются но и пытаются проверить свою почту. Куда уходят письма не знаю. Приходял ли они куда-то не известно. Тем не менее мне это не нравится. Да и адрес отправителя скорее всего уже в базе спамеров.

Начал я гуглить и нашел вот такой сервис. А интересен он тем, что у них есть API для проверки email и IP на предмет плохой активности в сети. Внедрение этого сервиса мою проблему решило.

Когда вы разрабатываете web-приложение, заранее зная, что оно будет находиться за балансировщиком нагрузки, следует учитывать ряд особенностей. Примером может служить запуск сайта в Docker кластере (например Swarm).

Что меняется?

Если ваше приложение попробует определить:

• имя хоста,
• протокол: http или https,
• IP адрес клиента,

Не многие знают, что как Windows 10 Fall Creators Update, так и Windows Server 1709 имеют 2 очень интересные Feature-on-Demand.

А именно OpenSSH Client и OpenSSH Server.

Для их установки (через UI) откройте Парамерты -> Приложения -> Управление дополнительным компонентами -> Добавить компонент и выберите OpenSSH Client и/или OpenSSH Server. С сервером сложнее. Здесь нет UI. Однако эту операцию можно выполнить с помощью PowerShell. Убедимся что фичи доступны:

Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'

В результате мы должны увидеть что-то такое: ``` Name : OpenSSH.Client~~~~0.0.1.0 State : NotPresent

Когда я писал про CSRF, то говорил что важно настроить CSP (Content-Security-Policy). Что это такое?

Content-Security-Policy - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая Cross Scripting (XSS) и атаки на инъекции данных. Эти атаки используются для всего: от кражи данных до повреждения сайта или распространения вредоносного ПО.

Чтобы включить CSP, вам необходимо настроить веб-сервер для возврата HTTP-заголовка Content-Security-Policy.

Чтобы осуществить задуманное, нам нужен вот такой Dockerfile.

FROM microsoft/windowsservercore:1709

LABEL Description="RabbitMQ" Vendor="Pivotal" Version="3.6.12"

...

Redis может быть полезен и для Windows разработчика тоже.

Сейчас я покажу как создать docker образ для redis на базе nanoserver-1709.

Нам понадобится файл redis.windows.conf

В этом посте я хочу рассказать о том, что такое CSRF (Cross-Site Request Forgery) атака и как от нее защититься.

Акт 1

Представим себе сайт интернет банкинга какого-нибудь выдуманного банка. Клиент этого банка вполне легальным образом логинится на сайте, выполняет ряд операций и закрывает страницу не сделав выход. После этой операции в браузере клиента осталась кука.

Клиент обманным путем попадает на сайт мошенников, которые отправляют AJAX запрос на сайт интернет банкинга с запросом о переводе некой суммы денег на счет мошенников. Так как в браузере осталась кука с сайта интернет банкинга, то она любезно прикрепляется браузером к запросу мошенников. Всё.

Вышла версия Fiction Book Reader с поддержкой Windows 10.

Что нового:

• Читалка переписана как универсальное приложение для Windows 10.
• Исправлены некоторые проблемы с парсером книг.
• Уменьшено требование к памяти.
• Новым пользователям синхронизация дается бесплатно в первые пол-года.
• Полноэкранный режим для десктопа.
• Оповещение о скором завершении подписки.
• Горячие клавиши для основных действий.
• Прикрепление книг на начальный экран / меню пуск в Windows 10.