Первый, нах!

может и не взломали, а это такой пиар-ход у него. Вообще, пишет, что пароль у него простой был. Пароли надо делать сложные, т.к. перебором они находятся довольно легко...
Вот, интересная статья на эту тему (http://www.pgpru.com/%C1%E8%E1%EB%E8%EE%F2%E5%EA%E0/%D1%F2%E0%F2%FC%E8/%D1%EE%E2%F0%E5%EC%E5%ED%ED%E0%FF%D2%E5%F5%ED%E8%EA%E0%C2%E7%EB%EE%EC%E0%CF%E0%F0%EE%EB%E5%E9). Автор - большущий специалист в области информационной безопасности.

Алкснис жжот. Иначе и не скажешь...

1. Бесплатная почтоввая служба потому и бесплатная что не даёт вам никаких гарантий. Хотите гарантий - используйте платную. Или вообще ставьте свой сервер.

2. ЖЖ ему не ломали. Как я понимаю тупо нашли письмо с паролем в мыле, или в ЖЖ воспользовались "восстановлением пароля". Это не взлом. Ничего интересного в этом нет.

Вобщем считаю что не надо давить майл-ру и прочих. Пусть живут. Я считаю что бесплатный сервис не может быть качественным.

> 1. Бесплатная почтоввая служба потому и бесплатная что не даёт вам никаких гарантий. Хотите гарантий - используйте платную. Или вообще ставьте свой сервер.

вы не правы. Даже бесплатная служба должна обеспечивать соблюдение базовых прав граждан. В частности - тайну переписки. Точто так же, бесплатная еда, которую раздают бедным или в маркетинговых целях, не должна быть опасна для здоровья.

Она обязана только если содержится на налоги. А так - они вольны делать всё что хотят. О чём они (давно читал, и уже и не помню толком формулировку) и говорят в соглашении с пользователем.

В пользовательском соглашении про "as is" пишут так же все коммерческие производители софта. Вот, из EULA винды ХР:
НЕРАСПРОСТРАНЕНИЕ МАТЕРИАЛЬНОЙ
ОТВЕТСТВЕННОСТИ НА КОСВЕННЫЕ УБЫТКИ.
В максимальной степени, допускаемой применимым
законодательством, Изготовитель ПК и его
поставщики отказываются нести материальную
ответственность за какие-либо убытки (включающие,
не ограничиваясь перечисленным, прямые или
косвенные убытки в результате нанесения телесных
повреждений, неполучения доходов от хозяйственной
деятельности, вынужденных перерывов в
хозяйственной деятельности, утерь деловой
информации или нанесения любых других видов
имущественного ущерба), вытекающие из
использования или невозможности использования
данного изделия, даже в том случае, если
Изготовитель ПК был предупреждён о возможности
этих убытков. В любом случае вся материальная
ответственность Изготовителя ПК и его поставщиков
по любому положению настоящего Соглашения
ограничивается той суммой, которую Вы фактически
уплатили за ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ и/или
аппаратуру фирмы Microsoft. В силу того, что
некоторые государства/юрисдикции не допускают
отказа от материальной ответственности за
косвенные или побочные убытки или ограничения этой
ответственности, возможно, что вышеуказанные
ограничения к Вам не относятся.

а вот кстати, из соглашения mail.ru:
12. Тайна переписки и конфиденциальность Mail.ru
В пределах функционирования Mail.ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о пользователях Mail.ru, за исключением случаев, предусмотренных законодательством Российской Федерации.

Пользователь дает согласие на использование персональной информации Владельцем Mail.ru в обобщенном виде в целях проведения маркетинговых исследований и таргетинга на сайте Mail.ru, при том, что адреса электронной почты не будут передаваться третьим лицам.

13. Цензура и фильтрация информации
В Mail.ru отсутствует цензура. Фильтрация получаемых сообщений с адресов третьих лиц может осуществляться пользователем самостоятельно, при помощи средств, предоставляемых Mail.ru пользователю. Пользователь согласен, что его исходящие и входящие почтовые сообщения проходят определенную автоматическую обработку программами Mail.ru для полноценной передачи, приема и хранения сообщений. В обязательную автоматическую обработку входит необходимый комплекс мер по выявлению вредоносных кодов в передаваемой информации, а также по возможности их блокировка или удаление (в зависимости от сложности данного кода и возможностей программного обеспечения Mail.ru). Эти меры принимаются исключительно для защиты персональных компьютеров Пользователя почтовой системы Mail.ru, а также для того, чтобы снизить нагрузку на оборудование Mail.ru.
т.е. в конституционных правах на тайну переписки и свободу распространения информации (запрет цензуры) они отказать не смогли.

> Эта моя инициатива у многих пользователей вызвала негативную реакцию.

И сейчас вызовет. Вы вот читали приказ МинИнформСвязи (165-ый, вроде, я номер что-то запамятовал). Вы представляете как далеко с дерева мининформсвязи до реалий хайтека? :) Т.е. это как минимум бессмысленно, они смогут издать разве что ужесточающий указ в стиле, который в принципе прибьёт все сервисы бесплатной почты. Во-вторых, Вам уже поясняли - что тут проблема скорее в том, что тот же mail.ru возможно слишком либерален к пользователю. Всё очень сыро, проблемы лежит на более высоком уровне, чем mail.ru с его почтой. Это в принципе проблема некой универсализации и возможностей договорённостей разных провайдеров услуг.

хотя, конечно, как-то решать надо. Я бы начал, правда, не с безидейных кляуз в глухой министерство, живущее ещё в прошлом веке, а скорее с дёргания за усы этого самого министерства.

афигеть...
это уже похоже на какую-то тенденцию... =((

Люди, делайте резервные копии своих журналов.

Восстановить ЖЖ из этой копии в первозданном виде (особенно комментарии) все равно не удастся.

Конечно, но это все же лучше, чем потерять совсем всё.

самсона рыков научил пиариться. дурдом.

если мы, пользователи, не наведем порядок САМИ, за нас это сделает другие, в том числе и ГОСУДАРСТВО

Оно в оффлайне на своей территории не может порядок навести, а Вы про сеть чего-то грите:) Ага,щас по серверам з-абугорным пойдут наши собаки с милицией:)))


взлом ЖЖ Самсона был, как и в большинстве аналогичных случаев, осуществлен через почтовый ящик на Mail.ru.

лучше уж Gmail.com юзать его сложнее дороже хакнуть.


Считаю, что первым делом в LiveJournal должен появиться сервис, позволяющий любому пользователю осуществлять полный BackUp Живого Журнала с возможностью последующего его востановления.

Спасение утопающих-дело рук самих утопающих. Есть программы для бекапа ЖЖ. К примеру, ljArchive (правда работает только под виндой). Есть и другие.

лучше уж Gmail.com юзать его сложнее дороже хакнуть.

Если вы первичную регистрацию осуществили на бесплатном почтовом сервисе, а после этого перешли на самый навороченный в плане безопасности, то все равно с первого ящика всегда можно "убить" ваш ЖЖ. Если, конечно, вам не удастся договорится с администрацией бесплатного почтового сервиса и "убить" почтовый ящик.

По поводу упомянутых вами программ могу сказать, что они восстановить "убитый ЖЖ" не позволяют. Единственное они позволяют длинными зимними вечерами в режиме офф-лайн любоваться своим некогда Живым Журналом.

> Если, конечно, вам не удастся договорится с администрацией бесплатного почтового сервиса и "убить" почтовый ящик.

надо ещё так убить, чтобы потом нельзя было создать новый ящик с таким же именем

Можно просто поменять имя ящика на актуальное во всех местах, где он фигурирует. Imho перебить имя ящика в свойствах пары других ящиков, ЖЖ и icq не так уж и трудно.

Меня на гмайле хакнули явно без особого труда. Правда, пароль был простой.

правильно сказал, ТЕБЯ хакнули.

К паролям нельзя так относиться, вставить одну единичку в начало или конец своего никнейма - это бред, а не пароль, любой брутфорс даже со слабеньким словарем такое подберет максимум минут за 5-10.

В KDE есть утилита kwallet-manager - менеджер пассвордов, у него есть "анализатор простоты пароля" - используйте на здоровье!

Oн был простой по нынешним временам - типа 11qqww22.
У гугля есть система против простого подбора, кстати - после нескольких ошибок он начинает требовать вводить ручками. Только этого не хватило.

А до этого как он требовал? Вводить ножками?

До этого можно вводить автоматически, а после ошибок требует ввести проверочный код. На распознание искажённых букв на изображении, насколько я знаю, приличных программ пока нет.

есть, просто стараются не афишировать
кроме OCR есть и другие методы для распознавания капчи

по первому:

25-летний украинский хакер Алексей Колупаев создал программу, которая способна пройти почти любой тест. Алексей Колупаев работает в одной из киевских интернет-компаний, а в свободное время решает проблемы оптического распознавания символов. Вместе со своим товарищем Юрием Огиенко они создали эффективную программу OCR, которая "заточена" специально на решение CAPTCHA. Украинские предприниматели также основали компанию для коммерческого продвижения этой технологии. Украинцы говорят, что могут настроить свою программу на решение любого типа CAPTCHA. За подобную настройку они берут от $100 до $5000, в зависимости от сложности задачи. Среди клиентов Колупаева встречаются и спамеры.
http://www.uinc.ru/news/

Спасибо. Недооценил я силу человеческого гения в труде во вред ближнему :(

Да. Беспредел. Ужасно. Нужно наводить порядок. Но не Вашими методами!
Кстати вспомнилось. А что там с Тарлитом? Его посадили?

Кстати, вот:
Правозащитники обвиняют "Google" в несоблюдении конфиденциальности (http://palm.newsru.ua/world/11jun2007/gooogle.html) (укр)

Оттуда:
---
Правозащитная организация Privacy International обнародовала результаты исследования степеней защиты интернет-порталами информации пользователей. По утверждению авторов доклада, корпорация "Google" предлагает своим пользователям наихудшие условия конфиденциальности среди аналогичных компаний.

Авторы доклада, в котором интрнет-компании классифицированны в зависимости от условий конфиденциальности утверждают, что "Google" относится к охране частной информации "враждебно".

Privacy International считает, что среди всех интрнет-компаний, соглашения о конфиденциальности которых недостаточно охраняют права пользователя, "Google" - наихудшая.
---

и т.д.

Так что да - проблема имеет место быть.

используйте шифрование OpenPGP

По службе приходится. Но, честно говоря, не хотелось бы делать тоже в частной жизни.

И дело даже не в конфедициальности - 100% все равно не бывает. Не ломали хотя бы. А это, имо, во многом зависит от поставщика сетевых услуг .

При вем уважении к Вам мне кажется более вероятной низкая квалификация пользователя, чем злонамеренность программистов и сисадминов mail.ru. Как уже писали в комментариях к прошлому посту на эту тему, пользователи крайне слабо представляют что нужно делать, чтобы не увели ящик. В данный момент я вижу только одну более-менее вероятную возможность (при непогрешимости пользователя) -- перехват паролей (сниффинг), а то что на каких-то маршрутизаторах в рунете это делается можно судить хотя бы по неправильным адресам получателей в спаме, когда у правильного адреса не хватает части или наоборот, в начале идет кусок каких-нибудь служебных данных. Могут так же и пароли перехватывать, хотя, вряд ли эти люди как-то стыкуются с чьими-то недоброжелателями в ЖЖ.

В данный момент на mail.ru отсутствует поддержка SSL в веб-интерфейсе (у яндекса есть), поддержки шифрования пароля для POP3 (APOP, CRAM-MD5) нет ни у mail.ru, ни у яндекса. Хотя, даже если бы и были... На почтовом сервере, поддержкой которого я занимаюсь из всех пользователей только я один использую шифрование пароля....

Imho гораздо более вероятным кажется вариант, когда человек открывает вложение в письме с темой "Смотри какие у меня фотки с моря!!!" или делает себе мегабезопасный (по его мнению) пароль типа "Dfcz". Другое дело, что нормальная фирма всегда должна быть заинтересована в расследовании подобных инцидентов, а mail.ru почему-то молчит...

А почему не создать государственный почтовый сервис? Сделать там все хорошо, после чего народ сам уйдет с плохих сервисов и они закроются. Просто непонятно как можно давать советы по улучшению качества сервиса в той сфере, где у государства нет ни малейших наработок.

ну почему же? gov.ru и kremlin.ru отлично существуют. И там даже стоит qmail -- отличный выбор ;)

Наверно потому, что это государство и является первым подозреваемым в стоящих за ломкой аккаунтов :)

Как ты был тупым бараном, так ты им и остался.

Полезное.

Рекомендация к владельцам livejournal об опции персонального бекапа. В том же diary.ru такая возможность имеется, пользователь может хранить бекап у себя.

Вредное.
1. Запрос по поводу низкого уровня безопасности на российских бесплатных почтовых сервисах.
Если по этому запросу будут предприняты конкретные меры - в худшем случае бесплатным почтовым службам в России придёт конец. Просто потому, что ВСЕ результаты работы министерства, возглавляемого Рейманом - это лоббирование интересов монополистов и запреты на деятельность альтернативных операторов. Недавний пример - модифицированный закон о связи, в котором IP-телефония приравнена к проводной, из-за чего для потребителей выросли цены (закон изменён для поддержания "на плаву" структур Связьинвеста).

2. "в наведении порядка на почтовых сервисах, в том числе и в Mail.ru нет необходимости?"
Почтовые серверы (в том числе и mail.ru) защищены неплохо и порядок там имеется. А вот в чем точно есть необходимость наведения порядка - так это в мозгах пользователей.
Примечателен диалог инженера техподдержки провайдера (И) с клиентом (К) (место действия: г.Екатеринбург, время - 2003 год):
И: Ваш компьютер заражён вирусом, пожалуйста установите антивирус и "вылечите" компьютер.
К: А что этот вирус делает
И: Рассылает себя и спам по сети
К: Пусть рассылает, мне не жалко
Другой пример идиотического поведения: ТЫСЯЧИ людей вводят в поисковые запросы номера своих кредитных карт, а потом ругают "хакеров". Не надо быть семи пядей во лбу, чтобы взять эти номера из публичных страниц и использовать их при оплате услуг и покупке товаров.

Лучше бы Вы обратили внимание ведомтсва Реумана на измышления журналистов жёлтой прессы, которые пишут страшилки о "хакерах", пугая обывателей.

"Другой пример идиотического поведения: ТЫСЯЧИ людей вводят в поисковые запросы номера своих кредитных карт"

А ЗАЧЕМ они это делают?! Что они таким образом ищут?!

Я не могу ответить на этот вопрос.
Факт же в том, что несколько месяцев назад был скандал с обвинениями в адрес google и yahoo о разглашении персональной информации. В процессе разбирательства выяснилось, что номера банковских карт и номера соцкарт были опубликованы на страницах "списки запросов к поисковой системе".

БУГАГА!

Всё же надо различать, когда "хакают" какие-то сервисы, а когда пользователей сервисов.

С данным постом полностью согласен.
Однако, при всем уважении - я лучше буду терпеть взломы моих блогов, нежели вмешательство государства в ЖЖ. Лучше не привлекать никакие гос. структуры в регуляцию существования ЖЖ, это приведет к введению цензуры, а ЖЖ по сути стал единственным местом, где её не осталось.

Неприятно удивлена. Как-то ... неуютно :(

Мои 5 копеек. Наверное неправильно предъявлять претензии к _бесплатным_ сервисам. Дело в том, что в данном случае, с юридической точки зрения вы как пользователь не существуете для сервера. У вас нет ни вашей идентификации (сертификата), ни договора с сервисом. Все что делает сервис - он предоставляет вам какие-то бесплатные вещи за ваше участие в его работе. Поскольку вы не связаны с данным сервисом никакими юр. отношениями (а тем более с зарубежным сервисом), то и претензии предъявлять кажется необоснованным. Более того, у вас всегда есть выбор - воспользоваться другим сервисом. И вам за это ничего не будет (потому что вы не связаны с жж юридически). То же самое касается бесплатной почты(БП). БП - сама по себе нонсенс. В нормах пользования Сетью (http://ofisp.org/documents/ofisp-005.html) в частности говорится, что пользователь ответственен за работу со своими ресурсами. В том числе за доступность своего ящика. С точки зрения БП - пользователь уже исчезает (нет никаких обязательств и возможности идентификации). Мне кажется, государство здесь может помочь только в том смысле, что стандартизирует соотв. услуги для последующего применения в жизни. Чисто практически это означает создание собств. почтового сервиса, описание доступного функционала, формирование SLA (соглашений уровня обслуживания) и реализации _государственного_ УЦ(удостоверящего центра). В этом случае, все сервисы, желающие оказывать услуги на соотв. уровне, должны будут пройти сертификацию. И вот тогда правительство РФ получить рычаги влияния на эти сервисы. До тех пор, пока у нас в интернете анонимность (юридически), пользователем уничтожившим жж может стать и его владелец. (Собтственно, и в обычных делах по страхованию такое тоже может быть, что уж говорить об интернете).

Касательно самого взлома - с точки зрения юриста не произошло никаких нарушений. Пользователь доверил конфедициальную информацию некачественному ПО со слабой защитой (т.е. например, отсутствие двухфакторной аутентификации). Подверг риску другие свои сетевые ресурсы (хотя ЖЖ и БП - это в принципе одно и тоже). Вот например даже вы, Виктор Имантович, запретили кому попало писать в своем журнале (полностью поддерживаю), а вот mail.ru - не предоставил соотв. механизмов защиты.

Кстати, касательно взломов. Уже про асю Самсона - собственно вопрос о сервисе (http://www.provider.net.ru/article.48.php). Не может же пользователь, который и сам не очень понимает почему он сделал ящик на mail.ru, требовать компенсации за то, что обременил частный сервис проблемами.

Ну да уж какая анонимность, когда по IP все легко "вычисляется"!!! А уж если вводить регистрацию... Жуть! Я считаю, что надо SIM-карты к мобилам без указания ФИО и подобной информации продавать, вот это будет действительно свобода и демократия!!!

IP - это соглашение об именовании компьютеров между сетями. Не говоря уже о публичных прокси, есть такая вещь как простой wifi. На яндексе найдется все. Вам даже необязательно сильно прятатьтся.

А регистрация - это ввод двух символьных массивов, которых вообще-то маловато для аутентификации личности. Вообще, все что доступно пользователю для модификации уже не trusted. По-моему, только ГОСТ-сертификаты спасут отцов русской демократии. Вообще, если проводить аналогию интернета с существующей системой - то это почта. По которой можно отправить письмо без обратного адреса.

кстати, mailru лежит. какие-то глюки там уже с неделю, а теперь он даже не шевелится: "попробуйте через три часа". хм.

> Ну, что и теперь эти господа будут говорить, что в наведении порядка на > почтовых сервисах, в том числе и в Mail.ru нет необходимости?

Наведение порядка это исключительно личное дело самих сервисов. А не "ГОСУДАРСТВА", тем более в лице бермудских рейманов. Украсть пароль можно тысячью разных способов, винить в проблеме конкретно mail.ru это либо полнейшее невежество, либо вы знаете о ситуации больше, чем тут пишете.

> Считаю, что в связи с участившемися случаями взлома Живых Журналов
> необходимо принимать меры, как владельцам LiveJournal компании Six Apart

Если вы не заметили, компания Six Apart в последние несколько лет вообще хочет избавиться от русских, так что любые проблемы с русскими журналами ей на руку. Вы в ЖЖ недавно, наверное не слышали что тут бывают волны удалений русских журналов, через абъюз-тим.

> так и Антону Носику, владельцу СУПа

Разве владелец СУПа не Мамут?

> поскольку его программисты также работают над улучшением инфраструктуры ЖЖ.

:)

> Необходимо предусмотреть возможность в случае перевода регистрации с того почтового ящика, с которого осуществляласьпервичная регистрация, на любой другой, первый почтовый ящик должен терять возможность запрашивать и получать пароль доступа к ЖЖ.

Понимаете, если у пользователя "дыра" в голове, то залатывание дыр в сервисах его не спасёт. :) Ну допустим, сделают в жж такую возможность, тогда хакеры просто украдут журнал с сервиса mail.ru и переведут его на gmail раньше владельца. Теперь представьте, что это одновременно делается с 10000 журналов - сколько времени уйдёт у сервиса, на разборки с каждым владельцем?

есть другая идея- ФЭПовцы под видом того,что их журналы "взломали"- сейчас попруться ломать все политически-неугодные журналы.

но поскольку акция массовая, они пытаются создать себе некое "алиби"- "да шо я, да шо я! меня еше вон когда хакнули!"

Собственно уже все разжевали: спасение утопающих дело рук самих утопающих: не умеешь плавать - либо не плыви, либо научись плавать... утонул - тебя не звали жемчуг искать...
а всякие суждения на тему кто кому что должен - пустое...

ЖЖжуть...
А Вы как защищаетесь?! Достаточно усложнить пароль в эл. почте, и пользоваться антивирусным монитором и фаерволом, или нет?! Когда Вас взломали, каким образом это произошло, если через шпиона, какие средства защиты использовались на Вашем компе, или просто подобрали пароль в эл. почте?!

Как архивировать ЖЖ: http://insie.livejournal.com/257853.html

хм... очень глупый пост)
если взламывают что-то принадлежащие какому то человеку, то именно этот человек и виноват, так как не смог правильно защититься.
Меня вообще бесят люди которые не имея ни капельки понятия как это работает приходя в интернет начинают разводить дискуссии о том что правильно да что ни так здесь... Есть очень умная пословица "Со своим уставом в чужой монастырь не лезь"...