Ну, подтверждение факта слива в студию. Торквемада вроде как сломал ящик "хакерши". Было там письмо от тифарета с паролем?

А вопли "он 30-значный, хуй подберёшь, значит слили" - вот у меня тоже nn-значный, но люди, знающие меня очень хорошо, раза с 10-го при везении попадут в яблочко.

Небось "ебатьанальгинаасуанскуювпадинувжёппужелезнойрельсой". Я - хаккер ниибаццо?

(Reply to this) (Parent) (Thread)

>Было там письмо от тифарета с паролем?
Ящик на igdrassyl@mail.ru был потёрт, Хэллу каким-то образом удалось его восстановить, но я не уверен, что старые письма сохранились.

>А вопли "он 30-значный, хуй подберёшь, значит слили" - вот у меня тоже nn-значный, но люди, знающие меня очень хорошо, раза с 10-го при везении попадут в яблочко.

Ну и о чём это говорит? Только о том, что у вас лично с безопасностью проблемы. Предполагать похожие у Хэлла, который сломал около 50-ти дневников на ЛЖ, по меньшей мере нелогично.

А вот как выглядит 30-ти значный пароль у человека, который реально озабочен безопасностью:

9wMxHsuQdR+6pd3ftJn60/J2uMReoZJ

И у меня подобный, например, и я уверен, что никакие самые близкие люди никогда его не угадают.

Короче, точно знать на сто процентов, что там произошло, мы скорее всего никогда не будем, но версия со сливом выглядит наиболее убедительной, и не только для меня. Теперь Тифарет может сколько угодно бить себя кулаком в грудь, но "осадочек остался", думаю, у всех более-менее внимательных наблюдателей.

(Reply to this) (Parent) (Thread)

>9wMxHsuQdR+6pd3ftJn60/J2uMReoZJ

Так зовут мою кошку :)

Я своей виртуальной безопасностью не слишком озабочен, да: в асуан не езжу и в он-лайне серьёзно волнующие меня вещи не храню. Паранойей страдаю в меру, тем более, что, в отличие от многих, реально известно, что меня мониторят менты. Даже имя-отчество, должность и звание этого человека знаю, хуле там.

>Короче, точно знать на сто процентов
>Ящик на igdrassyl@mail.ru был потёрт

А я-то читал, что поломали. Тогда ещё проще. Это надо быть идиотом, чтобы не почуять подставу. Действительно, хуле там - завести новый ящик взамен стёртого, запросить на него пароль, зайти в аккаунт. Надо считать противника полным лохом, чтобы так его недооценивать. Что, кстати, по тексту и ясно.

Вот таким же образом и пароль утёк - хуле гадать. Если человек на 100% состоит из гордыни, хамства, ЧСВ и пафоса, не надо никаких переборов и админского произвола. Сам отдаст.

(Reply to this) (Parent) (Thread)

>А я-то читал, что поломали.

Его поломали. После того, как он был потёрт.

(Reply to this) (Parent) (Thread)

Да, посмотрел. Разницы нет - если только его не стёрли 3 месяца назад.

(Reply to this) (Parent)

В общем, я не понял. какая последовательность событий предполагается.

(Reply to this) (Parent) (Thread)

Я ж не хакер. Вот и попроси своего друга любезного, чтобы он сам себе устроил разбор полётов.

А то сразу хай "жыды пароли сливают".

Если там было 5 попыток захода, или сколько, значит подбор был, но из очень ограниченного числа вариантов. То есть, например, у человека были пароли и от аськи, и от мыла, и от рута.

(Reply to this) (Parent) (Thread)

Он устраивал уже, по всему получается, что заходил человек довольно малограмотный. То, что Хэллу без труда удалось взломать der_hellreisser _вместе с ящиком_(а этот взлом видели многие, если не все), лишнее доказательство тому, что человек не умел предохраняться. А откуда могут быть пароли у малограмотного человека? Только получены от кого-то.

>Если там было 5 попыток захода, или сколько, значит подбор был, но из очень ограниченного числа вариантов.
Четыре попытки было. объяснить их довольно просто -- по собственному опыту знаю, пароль вида _[5U%<2'U_`Y(BP_QVRO-W.JT8<<8J с первой попытки набрать проблематично.

>То есть, например, у человека были пароли и от аськи, и от мыла, и от рута.

Если бы у человека были пароли и от аськи, и от мыла, и от рута, и если бы у этого человека была голова на плечах. то он бы задействовал пароль от мыла, а не ломал аккаунт на LJR, который по мылу можно всегда вернуть обратно.

(Reply to this) (Parent) (Thread)

Про якобы тупость "какерши", я повторяюсь, моё мнение - это на диво простая разводка. Цель - толкнуть на явное нарушение ТОС, плюс получить горделивое признание в этом.

Про рут я пошутил, в общем-то. Но в каждой шутке есть доля ---

(Reply to this) (Parent) (Thread)

Ну, может, и разводка, вопрос -- чья? У кого есть пароль от ЛЖР. а нету пароля от почты? Кому вообще больше всех надо было не унизить Хэлла, не доказать, что он никудышний хакер, а выкурить его из ЛЖР? Всё указывает на админов. По-моему, _уже одно то_, что лмали именно дневник без ящика, недвусмысленно показывает на админов, и никакой хитрости тут не надо. Никого, никогда и нигде так не ломали. потлому что это совершенно бессмыссленно.

(Reply to this) (Parent) (Thread)

Ладно, это сделали жыды, если Вы настаиваете. Лично Вербицкий, ночью, в полнолуние.

Умный человек переберёт все варианты. Тупой - выберет даже не самый простой, а первый, пришедший в межушное пространство. А, как я посмотрел, в Вашей тусовке гениев нэмаэ.

(Reply to this) (Parent) (Thread)

Никакого ума в предпочтении сложного варианта перед простым в угоду личных симпатий или антипатий я не усматриваю.

Всегда нужно искать наиболее простой вариант из объясняющих данную ситуацию, это просто принцип эффективного мышления.

(Reply to this) (Parent) (Thread)

мораль у вербилы есть, этого нельзя отрицать:
к примеру, можно вспомнить моральные страдания
тифарета по поводу отдавать пароль - не отдавать.

я видел тот коммент и протрактовал аналогично тебе,
может быть, что-то повлияло в последний момент
(хотя бы "уход" бацьки димитрия) и вербила отдал.

а если бы я умел ломать дневнички, хехе, я бы тоже
сломал бы торквемаду, чтобы скомпрометировать мишу.
неважно кто сломал, шишки все равно на него повалились.
повалились бы, если б всем не было похуй, хехе.
немногие обладают тягой и способностями к анализу.

(Reply to this) (Parent)

Никакой простоты особой не видно: всё равно сговоры всякие.

Нужны доказательства, а не домыслы.

Кстати, если Вы в курсе: вообще пароли прямым текстом хранятся (у меня нет исходников, они, вроде, общедоступны, но я ссылки на видном месте не вижу)? Откуда у Вербицкого пароль?

Я вот могу, например, высказать гипотезу, что дневник был недостаточно защищён, так как владелец уповал на электронную почту (сам ломал-то он пароль к ней), а "атакующий" дневник был плохо защищён намеренно, в провокационных целях. Так что обошлось и без Вербицкого.

Мне такой вариант кажется более простым: относительная простота заключается в отсутствии сговора с Вербицким, в остальном та же фигня.

Но это тоже бездоказательно.

(Reply to this) (Parent) (Thread)

1. почитай, что пишет торквемада
по поводу взлома, доказательненько

2. в принципе, всё равно, хранится
ли пароль в чистом виде в бд или
(посоленным) мд5-хэшем (коллизии)

3. мне кажется, ты не понимаешь
смысла и духа конспирологии -
это не наука, а скорее искусство.
теория заговора не нуждается
в доказательствах, парадоксально,
но достаточно её "очевидности".

(Reply to this) (Parent) (Thread)

1. То, что он пишет, доказательством не является по определению: он лично (ну, наверное дерьморобота настроил мне хамить немного) мне хамил, извирался, так что его мнения не в счёт. Употребление же слова "доказательненько" утверждает моё отношение.

2. Ты, похоже, плохо понимаешь ситуацию. Возможность нахождения двух строк с в целом непредсказуемыми, но совпадающими MD5-хешами и нахождение какой-нибудь строки по хешу — несравнимые по сложности задачи.

Первая успешно решена, из-за неё хеш ненадёжен (некто может поставлять разные файлы разным людям под видом одинаковых: одним, кто проверяет наличие закладок, без закладок, а остальным — с).

До решения второй сейчас очень и очень далеко.

К тому же MD5 далеко далеко не единственный хеш.

3. Я его понимаю, я согласен с тобой, но я не конспиролог. А слова какие-то околодоказательные (и про любимую мной бритву Оккама) вижу, так что реагирую.

(Reply to this) (Parent) (Thread)

2. обычно мд5 применяется для паролей,
я не знаю, как они в ЖЖ-базе хранятся,
но мне это и не так уж важно, ведь
включив лог на реверсивном прокси,
ну или максмимум, сниффер с фильтром,
можно на сервере выловить все пароли.

любой сервер на http, а не на https,
по определению не может быть секьюрным,
если не доверяешь его владельцу (верб.)

(Reply to this) (Parent) (Thread)

по определению не может быть…
А чем лучше https?

(Reply to this) (Parent) (Thread)

для данной ситуации ничем,
но в отличие от plain (http),
есть защита от перехвата на
роутерах (промежуточных звеньях).

промежуточны звеном может быть,
например, тот же реверсивный прокси,
если его админит не хозяин сервера.

(Reply to this) (Parent) (Thread)

для данной ситуации ничем, но в отличие от plain (http), есть защита от перехвата на роутерах (промежуточных звеньях).
Ну да.

(Reply to this) (Parent) (Thread)

например, атака на ТОР-сеть
типа "man on the exit node"

(Reply to this) (Parent)

на самом деле может содержать
лишь буквоциферные комбинации,
без специальных символов.

кстати, у таких "сильных" паролей есть недостаток
- иногда возникает необходимость передать его
(например, ты сисадмин, а начальник позвонил
по телефону и срочно потребовал пароль к серверу),
тогда нужно чтобы а) пароль был запоминаемым
б) однозначно записываемым по твоему голосу
в) всё же сильным, не подверженным атаке по словарю.

(Reply to this) (Parent) (Thread)

Это неверно. (первый абзац)

(Reply to this) (Parent) (Thread)

это от сервиса зависит,
есть фильтрация или нет,
какие символы разрешены.
а для указанных выше
есть гарантия валидности.

(Reply to this) (Parent) (Thread)

Для lj.rossia.org — неверно.

(Reply to this) (Parent) (Thread)

согласен

(Reply to this) (Parent)