Мда...
Ну, если и Антон уже советует бэкапится...

Хотя сломать мой журнал это чмо "Хелл" обещало неоднократно, а потом стирало свои коменты с обещаниями.

А почему бы ему не советовать бэкапиться? Глупые юзеры запускают екзешники в новых письмах, пароли короткие держат, не ставят брандмауэров и антивирусов. Дело не в ЖЖ, дело в людской глупости.

И советы у него, и подход... очень напоминает.
(Только, чур, не думайте, что я имею что-то против проктологов. Они просто очень забавно выглядят, находясь не на своём месте.)

CУПу следовало бы опубликовать сводный отчет по всем последним взломам. Систематизировать информацию - насколько сильны были пароли, какие почтовые сервисы использовали жертвы, были ли найдены трояны на компах и т.п.

СУП занимается монетизацией траффика. Помошь пользователям ЖЖ в его задачи не входит.

С чего Вы взяли, что Суп располагает хотя бы тысячной частью этой приватной пользовательской информации?
Думаете, Алкснис, Мальгин и Соколов, подвергшись взлому, сразу несут в Суп все компьютеры, на которых они за последний год логинились, для антитроянской проверки?

А если б несли — Вы уверены, что предназначали б все эти сведения для публикации?

в том то все и дело, что СУП мог бы попытаться начать решать проблему на чисто организационном, нетехническом уровне. Связаться с Максимом Соколовым, предложить ему провести аудит его компа, может быть, даже заплатить ему деньги за такое разрешение. Предварительно Соколов мог бы убрать с компа всю личную информацию.

Далее, СУП мог бы обратиться в Сиксапарт с просьбой предоставить информацию о качестве паролей жертв.

Хаккеры часто используют для взломов так наз "социальный инжиниринг", то есть нетехнические методы взлома. Соотв, борьба с ними тоже должна включать нетехнические методы.

-- завтра я сотру свой эккаунт, даже и 20 баксами пожертвую. Наутру создам новый с приписанной цифрой 2, и объявлю: "Господа, я взломан!" -- "Как?!", "Кто посмел!", "А кто же ж ты такой?!" -- Отвечу, что-то типа "Пароль был нехитрый, gd1245, но я найду мерзавца силами общественности!"

Наверное, мудрый мне скажет тогда: "У тебя свой личный компутер и свои мозги, и как ты с этим добром обращаешься -- твои личные, опять таки, проблемы. Компутер надо чистить, а мозги -- проветривать...", -- на что я тихонько про себя ухмыльнусь, потирая...

a smysl?

у депутатов моска нету, забудьте...

А ничего менее олдскульного для бэкапа не существует?

LJArchive и LJBook работают без командной строки.
Restore надо написать.

restore есть, если бэкапиться ljpms-ом.

LJArchive, кстати, вполне.

http://www.softportal.com/freesoftware/685

lj.rossia.org (http://lj.rossia.org/): kill_hell (http://lj.rossia.org/users/kill_hell/): Информация о хакере Хэлле собирается тут (http://lj.rossia.org/users/kill_hell/744.html?mode=reply).
Комменты скринятся.
Конфиденциальность гарантируется.
При указании кошелька вэбмани выплачивается вознаграждение.
Если вы не желаете, чтобы информация попала в правоохранительные органы, сделайте об этом пометку.

На общественных началах Аналгину помогаем?

хакеры (http://alexlotov2.livejournal.com/tag/хакеры)

Зачем вам это?
Я видел его в Нюренберге живьем, знаю где он работает.
Чем его ловить, учили бы юзеров придумывать более стойкие пароли на почту.

Сдается мне, что Хелл не такой дурак и ломает только те журналы, за взлом которых ему заплатили. Обязательно Тебя закажут, если Ты журнал раскрутишь и полезешь в топ яндекса, а бабки не будешь отслюнявливать каждый месяц. Платить надо, если не врут, баксов до 500. Каждый месяц. А Хелл может начать работать и за гораздо меньшую сумму, потому что как лох, обидчив и поддается на любую подстроенную провокацию.

Так что, если начнешь много зарабатывать на журнале, жди рекитиров. Плати им или вкладывай деньги в систему безопасности и будь готова к тому, что кирпич упадет тебе на голову. Виртуальный или реальный.

Хелл пишет, что 70% журналов, которые он пытался сломать, сломать ему не удалось.
А о защите информации в моем журнале смотрите тэг хакеры (http://alexlotov2.livejournal.com/tag/хакеры)

так подкиньте ФИО!

...по Вашей логике и грабителей ловить не надо - достаточно замки усовершенствовать.

тебя не существует

Вариантов причин возможно множество, но на месте г-на Носика я В ЛЮБОМ случае не был бы столь благодушен. Поскольку В ЛЮБОМ случае наносится серьезнейший ущерб деловой репутации именно СУПа.
Как бы серьезные пользователи не начали разбегаться с такого "сервиса".

Что-то не начали серьезные пользователи отказываться от услуг компании Nokia, несмотря на то, что аппараты этой марки чаще других воруются, теряются, получают механические повреждения при падении и т.п.

Можно, разумеется, винить производителя телефона в том, что у тебя украли телефон.
Потому что производитель — большая и богатая компания, её винить просто, у неё есть деловая репутация, за которую ей положено дрожать.

Однако же к поведению "серьёзных пользователей" эта логика пьяного, ищущего часы под фонарём, имеет мало отношения.

Да не обижайтесь Вы сразу. Вы сам в этой области не специалист, так что Вам простительно. К тому же за эти функции вообще, насколько я поимаю, не Вы, америкосы несут прямую ответственность. СУП если в чем и виноват, так только в том, что рекомендации большим боссам вовремя не выдал.
Производителя телефона за то, что у тебя его украли, винить действительно нельзя. А вот за то, что в конструкции телефона не предусмотрена дырочка для шнурка, коим телефон привязывается, и тем вероятность кражи уменьшается очень намного - очень даже можно. Здесь как раз второй случай.

Мой Вам совет, причем бесплатный, хотя, на самом деле, такие советы недешево стоят: не пожалейте денег, пригласите хорошего специалиста по информационной безопасности или просто грамотного, опытного админа. Если не на постоянную работу, то пусть хоть аудит проведет и даст рекомендации. Причем выполнение большинства из них не будет стоить ничего или почти ничего. Если не считать затрат рабочего времени.

Останетесь ведь без штанов - интеллектуалы разбегутся, а ниши для попсы все уже заняты.

Антон, не говорите ерунду. Если украли телефон — это не зависит от производителя телефона. Если взломали аккаунт, заглючила программа, отсутствует функциональность для бекапов — это все в зоне влияния разработчиков ПО.

Варианты:
1. Руки не доходят.
2. Не думают о пользователях.
3. Не хватает квалификации.

Интервью Хелла (http://lj.rossia.org/users/kill_hell/5338.html): всегда есть какая то лазейка небольшая, а чрез нее остальное раскручиваеца

Я во многом согласен с хеллом. А Соколову - поделом. Пустой человек.

Лотов иди нахер! сколько можно у монитора виснуть!
пойди на дискотеку, девок потискай!

Хозяйке на заметку

Мое мнение чуть подробнее: http://reader59.livejournal.com/8501.html
Вообще, срамотищща.

эта странная программа скачивает последние полгода и все :)

У меня скачала абсолютно все. Вы не меняли имя?

нет.

Поставил качаться общедоступную часть журнала baobabka@lj
По завершении процесса могу результат зазиповать и выложить.
В данный момент у меня апрель 2006 года качается.

будь так добр!!
спасибо :)

у меня вообще - только сентябрь и только открытые посты.

мы избранные....

Антон, нужно что-то делать. Я понимаю, СУП не имеет к этому никакого отношения. Но если в LJ совсем не заботятся о клиентах, кому нужен такой сервис? Судя по всему, бекапа на LJ не предусмотрено. Правильно ли это? Вот на глазах убили журнал М.Ю., убили его труды за много лет. Вы думаете это никак не повлияет ни на что?

Я думаю, что поднять сервис на основе LJSM/LJArchive можно на абсолютно любом сервере, для этого не нужен ни Суп, ни 6Apart.
И любой человек может LJSM/LJArchive юзать бесплатно.
Того, что люди этого не имеют привычки делать, не исправить появлением ещё одного сервиса, которым они точно так же не будут пользоваться.
Исправить эту ситуацию можно лишь объяснением людям, что есть такая угроза, и стоит почесаться ради её предупреждения.

Если люди начнут об этом думать, появятся и продукты, и бэкапы на персональных дисках, которые никакой троян не умеет тереть.

А пока людям нет до этого дела, не надо ждать, что Нокия позаботится, чтоб телефоны не терялись, не крались, и не разбивались при падении с балкона.

Но согласитесь, что возможность поставить в своем профайле галочку "делать еженедельный бэкап" было бы вполне очевидным удобством, ну пусть даже за пару баксов в год.
Это гораздо удобнее и практичнее (а значит вероятность того, что этим будут реально пользоваться гораздо выше) чем городить собственный огород, морочиться с командной строкой, странными программами и так далее.

Совершенно не ясны причины вашей последовательной позиции против встроенного сервиса бэкапа LJ. Техническая невозможность? Сомневаюсь.

Спасибо за информацию.

LJArchive - не плохая программка оказалась. Плюс с исходникам.

Для тех кто в панике
Вы думаете другие сервисы блогов не ломают? Еще как! Просто ЖЖ более других интересен как мишень из за его популярности и аудитории.

ЗЫ: Поверьте , сломать можно все что угодно , был бы стимул…

...стимул и ресурсы. если бы всё что угодно можно было сломать на одном стимуле, всё бы уже давно было сломано - и ничего бы не работало :-)

Вы попали в top30 на яндексе самых обсуждаемых тем в блогосфере. Поэтому копия вашего поста доступна в ленте по ссылке (http://topbot2.livejournal.com/2458644.html)Почитать текст со всеми комментариями можно тут (http://deep-water.ru/?http://dolboeb.livejournal.com/1027541.html)Это Ваш 106-й ТОПовый пост за последний год (http://deep-water.ru/top/). Посмотреть статистику автора можно тут (http://deep-water.ru/top/info.php?id=160).Этот "бот не имеет отношения к Яндексу" © НадежныйИсточник

Попеарьте меня, пожалуйста :(((

>>Интервью Хелла: всегда есть какая то лазейка небольшая, а чрез нее остальное раскручиваеца

Не является ли этой лазейкой ljplus.ru?

Нет, не является.
Через ljplus.ru за 3 года его существования не было украдено ни одного пароля и взломано ни одного аккаунта.
Ни у Алксниса, ни у Соколова, ни, вероятно, у Мальгина там нет аккаунтов.

Под лазейкой Хелл имеет в виду, что у любого заметного в Инете человека есть много известных контактов.
Мэйлы и аськи, как минимум.
И можно подбирать к ним пароли брутфорсом, а можно по этим мэйлам и аськам засылать троянов, рассчитывая, что их откроют, заразятся, и сами всё отдадут.

у мня вот в ЖЖ и на ljplus -пароли абсолютно разные. Иниибёт. :-)))

Удивительно, но до возникновения пресловутого супа проблем с безопасностью в жж не возникало. А потом не прошло и года - и начали грохаться чьи-то жж один за другим.

Но за безопасность никто тут денег не платит, это же не макдональд с его гамбургерами у лесного.

Это кто Вам сказал такую чушь?
Давайте Вы вот тут по ссылочке прочтёте 205 записей (http://blogs.yandex.ru/search.xml?text=%E2%E7%EB%EE%EC+%E6%E6&f_user=&f_server=livejournal.com&server=livejournal.com&author=&feed=&category=&music=&mood=&link=&ft=&from_day=01&from_month=01&from_year=2001&to_day=01&to_month=10&to_year=2006&duration=1&date=date%3E%3D%2220010101%22+%3C%3C+date%3C%3D%2220061001%22), последняя из которых датируется 30-м сентября 2006 года.
Внимательно прочтёте.
После этого Ваше мнение по вопросу станет хотя бы слегка информированным.

а взломы тангодансера, холмогорова, шапокляк и ещё кого-то, пробежего, кажется, нам всем, конечно, приснились.

То, что "Поздно, братец, горевать, надо было страховать" -- это мы и так знаем.
Не подскажете ли, что мне практически делать. Или журнал maxim_sokolov восстановлению уже не подлежит?

но факт,у нас на Ли.ру подобного нет....
только если кто по дурости кому-то пароль свой скажет

Создать новый blog. Разориться на $50-100 в год, отказаться от использования ящиков на бесплатных сервисах. Хранить адрес e-mail, указанный при регистрации blog, в тайне.

а что именно волнует аккаунт или данные?
если аккаунт то это к суппорту жж
а если данные (не подзамочные) то стоит поискать в кэшах поисковиков
кинуть клич по френдам - мож кто бэкапил
пошариться на винте кэше броузера
большую часть инфы выцарапаете
кста на винте и подзамочники можно найти
правда потом задолбаешься это месиво сортировать но что поделать...

http://web.archive.org/web/*/maxim-sokolov.livejournal.com

Т.э. Вы признаете, что в ЖЖ говенное секьюрити и ничего не можете с этим поделать?

Нет, я признаю, что Вы бредите.

В ЖЖ секьюрити действительно даёт Вам возможность писать под ником net_kot@lj на основании Вашего пароля.
Но такая же возможность есть у любого человека, которому Вы отдали свой пароль.
И у любого человека, который, не зная Вашего пароля, сел за компьютер, где Вы залогинены в Семажике и ЖЖ.
Это общий принцип функционирования всех на свете систем, защищённых паролем.

Это уязвимость не ЖЖ, а такого способа авторизации.

вот это круто! в избранное

+1

ога. в заклады ибо актуально )))

сделайте это темой своей следующей Акции.

Это ж не вариант. Ну закачает очередная потенциальная жертва себе на диск весь архив, и что потом - любоваться на него лунными ночами? Backup без restore - функция не слишком полезная, журнал как онлайновый объект остается убитым. Конечно, нет особых проблем написать разбор этого хозяйства и выкладывание его в новый журнал, но при этом потеряются комментарии, перекрестные ссылки и т.п.
Так что в идеале функцию бэкапа (опционального, но неубиваемого пользователем) было бы неплохо реализовать на уровне родного интерфейса - хотя бы для платных аккаунтов.

Backup без restore - функция не слишком полезная, журнал как онлайновый объект остается убитым

Вы совершенно правы.
И диабетик при введении инсулина не становится здоровым человеком.
Он просто не умирает, а жизнь его остаётся такая же мучительная жизнь диабетика, какая и раньше была.

Backup без restore создаёт некий массив данных, защищённый от внешнего воздействия настолько, насколько защищены Ваши диски, дискеты, флэш-память.

Restore к этому массиву, может быть, потом напишут бесплатный, а можно его самому написать, а можно кому-то заказать.

То, что сохраняет LJSM — plain HTML, который можно вылить на сервер, и получится полный дубль всех записей и большой части комментов.

есть способы копирования дневника как онлайн-объекта, но к сожалению без комментов

Я ещё можно я Яндексе журнал завести и настроить туда трансляцию из ЖЖ, коли чего случится, будет копия на Яндексе

В Яндексе она во-первых не очень хороша (нет вообще ни календаря, ни рубрикации), а во-вторых, включается и выключается произвольно. Что нормально, поскольку мы говорим о бете. Но есть десятки других блогов, предлагающих Ваш забэкапить и далее синхронизировать.

Ни один из этих сервисов не спасёт Ваши комментарии.

weak link здесь - бесплатные почтовые сервисы, где люди используют простые пароли и предсказуемые контрольные вопросы для восстановления паролей

Не только. Нет элементарной защиты против ботов (captcha).

я все сделал, только не понял куда все скачалось

Тхахахах!

Спасибо!