Росэлектроника: ИТ-миграция — мучительный и длительный процесс

Олеся Афанасьева 28 Июня 2022 - 18:31

Корпорации

Государство

Соответствие законодательству РФ

Импортозамещение

Санкции против России

...

Росэлектроника: ИТ-миграция — мучительный и длительный процесс

На конференции “Российская электроника” обсуждали конкурентоспособность и совместимость отечественного ПО и собственного “железа”. Говорили о “единстве многообразия” — стоит ли ждать, пока в рыночной экономике выживет сильнейший или доверить выбор государству.

У российского ИТ-рынка есть два пути развития, говорит старший вице-президент по информационным технологиям “Ростелекома” Кирилл Меньшов. Эволюционный: ждать, когда из двух десятков отечественных решений “в дикой природе” выживает самый крепкий. Но на это может уйти 10-15 лет.

“Или волюнтаристский путь, — продолжает Меньшов. — Представляет собой объединение и выкуп конкурентов”.

В Ростелекоме видят второй путь более жизнеспособным.

Гендиректор “Мой офис” Андрей Чеглаков предлагает более “авторитарный” подход.

“Все говорят про инженерные решения, но не про продукты, — объясняет Чеглаков. — А говорить нужно об унификации”. По его словам, не нужно плодить решения, а выбрать одно, субсидировать его и целенаправленно развивать.

Право и ответственность за выбор Чеглаков считает правильным доверить властям.

“Процесс миграции — мучительный и длительный процесс”, — вспоминает эксперт цитату одного зарубежного вендора, обращенную своим клиентам.

“Государство могло бы управлять спросом, — считает глава “Моего офиса”, — чтобы на рынке не плодились решения, а соревновались готовые продукты, удобные клиентам”.

Говорили и про технологическую независимостью — новый оборот, который теперь принято использовать в дополнение к импортозамещению.

“Мы сталкиваемся с нехваткой самой российской электроники, её возможных мощностей и тем, как этот рынок регулируется на критических объектах инфраструктуры”, — говорит замглавы компании ГК 1520 Павел Середа.

Для своих решений там используют российскую базу и ту, которую требует заказчик. Что касается работы по кибербезопасности, Павел Середа приводит пример Германии. На немецких железных дорогах — отдельный подрядчик, чьи решения не продаются и не выходят в открытый доступ.

Про новые независимые разработки рассказывали и в компании “Криптософт”. Речь о популярных сейчас квантовых коммуникациях.

“У нас собственная операционная система, написанная с нуля в России, и это не Linux, — говорит замдиректора “Криптософт” Евгений Букин. — Архитектурно ОС похожа на семейство Windows”.

По словам Букина, софт работает на процессорах Эльбрус, Байкал и Комдив. Участники ИТ-рынка говорили о требовании властей перейти к 2025 году на отечественное оборудование и ПО на всех объектах критической инфраструктуры.

“На всех новых объектах уже внедряют российские разработки, в том числе это касается управления и технологического ПО, — говорит Павел Середа из ГК 1520. - Рисков при замене импортных систем на объектах, где они были ранее установлены, отечественными, нет. Вопрос упирается в финансирование и целесообразность, решение остается за регулятором и заказчиком”.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: