|
|
Пишет Игорь Петров (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} labas)@ 2008-08-01 07:43:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
soup du jour
Похоже, с предположением, что в последних взломах (![[info]](http://lj.rossia.org/img/userinfo-lj.gif)
losta@lj, marusja@lj, baobabka@lj) ломали сразу журнал, а не мэйл, я был неправ. В связи с чем хотел бы заметить, особенно для тех юзеров, у кого жж старые и кто ими дорожит:
1) выбор журналов для взлома в данном случае никакой логикой не объяснить, так что потенциально в опасности все
2а) то, что в списке http://www.livejournal.com/tools/emailm
2б) вы уверены, что ни один из этих адресов не проиндексировал когда-нибудь яндекс в записи или комментарии вашего жж? Если так, то потенциальный взломщик найдет их за пять минут.
2в) многие мэйлсерверы удаляют адреса, которые не использовались последние 90/180/365 дней. Поэтому, если у вас в списке адресов есть vasya.pupkin@mail.ru, о котором вы давно забыли и которым несколько лет не пользовались, то взломщику даже не надо подбирать пароль. Он идет на mail.ru, регистрирует заново адрес vasya.pupkin, после чего становится владельцем вашего журнала.
3a) любой адрес из списка http://www.livejournal.com/tools/emailm
3б) пользователи могут попытаться удалить самый первый адрес, списавшись с АТ и идентифицировав себя с помощью кредитки, которой был оплачен жж или иным способом
4) пока на добровольцев из АТ возложены функции и контроля над контентом, и контроля над жж-функционалом, эффективно противостоять взломам они не смогут. Контроль над жж-функционалом должны осуществлять сотрудники компании. О том же здесь.
+++
В системе reCaptcha, которой пользуется жж, обнаружена уязвимость. Некто Вася zcfd, специалист по PHP и компьютерной безопасности из Белоруссии, воспользовался ей и зарегистрировал более, чем 20000 ботов, которые все его с радостью зафрендили. Еще чуть-чуть и он обогнал бы в рейтинге Тему, но яндекс забанил его на взлете.
Похоже, с предположением, что в последних взломах (
losta@lj, marusja@lj, baobabka@lj) ломали сразу журнал, а не мэйл, я был неправ. В связи с чем хотел бы заметить, особенно для тех юзеров, у кого жж старые и кто ими дорожит:1) выбор журналов для взлома в данном случае никакой логикой не объяснить, так что потенциально в опасности все
2а) то, что в списке http://www.livejournal.com/tools/emailm
2б) вы уверены, что ни один из этих адресов не проиндексировал когда-нибудь яндекс в записи или комментарии вашего жж? Если так, то потенциальный взломщик найдет их за пять минут.
2в) многие мэйлсерверы удаляют адреса, которые не использовались последние 90/180/365 дней. Поэтому, если у вас в списке адресов есть vasya.pupkin@mail.ru, о котором вы давно забыли и которым несколько лет не пользовались, то взломщику даже не надо подбирать пароль. Он идет на mail.ru, регистрирует заново адрес vasya.pupkin, после чего становится владельцем вашего журнала.
3a) любой адрес из списка http://www.livejournal.com/tools/emailm
3б) пользователи могут попытаться удалить самый первый адрес, списавшись с АТ и идентифицировав себя с помощью кредитки, которой был оплачен жж или иным способом
4) пока на добровольцев из АТ возложены функции и контроля над контентом, и контроля над жж-функционалом, эффективно противостоять взломам они не смогут. Контроль над жж-функционалом должны осуществлять сотрудники компании. О том же здесь.
+++
В системе reCaptcha, которой пользуется жж, обнаружена уязвимость. Некто Вася zcfd, специалист по PHP и компьютерной безопасности из Белоруссии, воспользовался ей и зарегистрировал более, чем 20000 ботов, которые все его с радостью зафрендили. Еще чуть-чуть и он обогнал бы в рейтинге Тему, но яндекс забанил его на взлете.
