2. Который доселева никогда и хорошо и интересно не обсуждался.

В перспективе всеобщей беспечности - нет, действительно. А что?

Да ничего. Чего-то мне в силу полуночной хандры стало казаться, что разговоры об обустройстве блогосферы начали смахивать на разговоры о сохранении русского языка, как-то вроде того. В том смысле, что блогосфера вполне оформилась как некоторый живой организм и, в общем, вполне справляется с проблемой выживания самостоятельно.

Ага, спасибо, игнорирую тогда Ваши реплики, как Вы и просите.

Ага, "Следующий!"
Вы помните, сколько копий переломано было по поводу суспендов? А толку? Все равно, по большому счету, все было переварено системой, усвоено и переработано. И что-то я склонна сильно скептически относиться к роли личностей в этой истории.
Кстати, я вчера потратила некоторое количество времени на ознакомление с "торквемадой", прости господи. По моим впечатлениям, он существует пока у него есть (мы даем ему) возможность изображать из себя этого, как его, Зорро. И еще у меня есть впечатление, что потенциал этой роли практически исчерпан. То есть эта торквемада кончится раньше, чем можно успеть наладить сколько-нибудь убедительную систему защиты. А потом эта система, в общем, и не нужна будет.

как обустроить жизнь в блогосфере, где далеко не все участники знакомы с обсуждением первой темы.
Вот так (http://openid.net/), например

Неа, не о том речь.
Есть радикально большое количество пользователей, не понимающих, что такое "безопасный пароль" и не желающих понимать. И в общем, они не должны.
Спрашивается - как сохранить их чувство безопасности?

По-моему, никак.

Почему это?

Потому что отношение к своим дневникам у этого радикально большого количества столь же радикально различно. Собственно, это очень хорошо видно в репликах - я не помню, где я это видел на днях, возможно, что и в вашем журнале - когда один говорит, что для него его журнал ценность значительно большая, чем почтовый архив, а другой ему отвечает в том духе, что журнал мол что, журнал это так, безделка, главное чтобы хулиганящие мущины не добралися бы именно что до почты.

Если серьезно, то безопасность (как и комфорт) вещь не абсолютная. Один будет готов для ее поддержания тратить столько-то времени и прилагать такие-то усилия, другой будет склонен тратить больше этого, третий - меньше и т.п. Поэтому решение поставленной задачи ("сохранить их чувство безопасности") и возможно только рыночным образом - предложением целого спектра решений, разных по цене и мощности. Такое предложение обеспечивают предприниматели - они тут, кажется есть, хотя и работают не только за деньги (как и всякие нормальные предприниматели). Т.е., я тут, проясняя свою реакцию, пришел, конечно, к отрицанию своего отрицания, но вот да, так как-то.

А почему они его потеряли? Или теряют?

Потому что в ЖЖ появились киллеры, они взламывают аккаунты и уничтожают дневники.

Я бы описал это так: потому что в ЖЖ появились идиоты, которых пока недосуг никому было серьезно бить.

Да, я знаю. Я ниже по ветке развила мысль. Если захотят хакнуть, хакнут, ничем не остановишь. Надо, чтоб захотели, а на радикально большое количество пользователей это вряд ли распространяетс.

Попробуйте, пожалуйста, сублимированно изъясниться. Вы за что?

За то, чтоб не дергаться. И за OpenID is a decentralized single sign-on system. Using OpenID-enabled sites, web users do not need to remember traditional authentication tokens such as username and password. Instead, they only need to be previously registered on a website with an OpenID "identity provider", sometimes called an i-broker. Since OpenID is decentralized, any website can employ OpenID software as a way for users to sign in; OpenID solves the problem without relying on any centralized website to confirm digital identity. (http://en.wikipedia.org/wiki/OpenID)

Собственно, разовью мысль. Есть много фильмов и историй о том, как люди грабят суперзащищенные объекты ("Как украсть миллион", "Афера Томаса Крауна", номерные Оушены и так далее). С другой стороны, я недавно уехала на неделю, забыв закрыть на ключ дверь квартиры. Обнаружила по приезде, однако в доме все было в порядке.

Как бы вы ни защищались, если захотят хакнуть именно ваш журнал, хакнут: взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном... (http://vitus-wagner.livejournal.com/)

Большинство же может спать спокойно. Относительно, конечно.

Можно провести аналогию с реальной жизнью. После взрывов домов прошло уже какое-то время и люди перестали постоянно об этом думать, можно сказать - почти не вспоминают. Но стоит только появиться угрозе - как все страхи вспыхнут с новой силой. То есть к тому спокойствию и безмятежности, как до взрывов, мы уже никогда не вернемся. В ЖЖ, наверное, то же самое. Спокойствие очень относительно. Страх, что тебя взломают - есть у каждого юзера.

Римма, это очень плохая аналогия.
Насчет того, что тебя могут взломать, постоянно помнят 10% от силы.

Да, наверное. Это я по себе сужу. А большинству свойственен пофигизм. Как и в жизни.

Есть также фильмы о том, как из одной клетки воскресили динозавров, и, если уж на то пошло, как с компьютера "макинтош" загрузили вирус в иноземный компьютер. Не стоит верить всему, что показывают в кино. Что же касается тезиса о том, что если захотят хакнуть - то хакнут, то он не совсем верен. Ну, то есть, хакнут, возможно, но замаются в процессе. Вся фишка - сделать хаканье более дорогим (в плане денег, времени, усилий), чем выгода от взлома (будь она финансовой, моральной или еще какой). А это сделать не так уж и сложно.

Дима, точно нам пора идти с Вами по городам и весям бесплатные лекции от общества "Знание" читать.

Да я готов даже гусям проповедовать, если гуси после этого усвоят простые правила сетевой безопасности.

Простите мой цинизм, не усвоят.
И, кстати, это правильно.

Есть надежда, что хотя бы небольшой процент усвоит. А другого пути нет, на этом сошлись все специалисты по компьютерной безопасности. Как говорится, if you think your system is foolproof, you seriously underestimate the ingenuity of the fools.

А вот что постфактум прикажете делать, господа Ассизские, если уж - как сказано (http://avva.ljgate.com/1084134.html) - безопасность ЖЖ полностью зависит от первой-неудаляемой почты, которую приклеиваешь "до" журнала и до понимания?
Зашел в дом, а внутри табличка: не так надо было заходить, теперь голову отрубят.

Можно обратиться в АТ, и они удалят первый адрес.

Ну да, и точно так же можно их попросить, чтобы восстановили хакнутый журнал:-)
Все решаемо (?..), но лучше, чтоб заранее и автоматически.

Ну да, и точно так же можно их попросить, чтобы восстановили хакнутый журнал:-)

О примерах удаления первого адреса слышал, о восстановлении стертых журналов - нет.

Есть также фильмы о том, как из одной клетки воскресили динозавров
Есть, есть. А громких ограблений суперзащищенных объектов в жизни как раз нет :)) Фильмы здесь -- просто для яркости примера, если Вы не догадались.

Но мысль-то понятна? Вы даже и согласны, что хакнут, если захотят. Но большинство жкрналов никому, кроме узкого круга друзей, не нужны. А хакеру нужен не миллион, ему нужна слава. Так что защищаться по-серьезному нужно авторам популярных журналов, а они уж кое-как поднаторели. Что не спасает, как видим.

Вы даже и согласны, что хакнут, если захотят.

Это упрощение, конечно. Если систему защищают профессионалы, и все ее пользователи обучены простым правилам, и выполняют их - то не хакнут. Увы, пользователи были и остаются слабым местом системы. А авторы, как мы видим, не поднаторели, используют слабые пароли, увы.

Как же, вот здесь ниже по треду говорят, что у Лабаса был суперзащищенный пароль?

Нет, не было у него суперзащищенного пароля. Его пароль был - cicca1960relli. Это фамилия достаточно известной личности, разрезанная пополам годом его (этой личности) рождения. Это плохой пароль.

Да, пароль слабоват, это правда. Но у Мальгина-то, кажется, были более затейливые пароли?

Не знаю, увы, какие у него были пароли. Было бы любопытно узнать.

У Мальгина почта была на мэйл.ру, а там, как утверждает Аммосов - можно просто так получить чужой пароль через систему напоминания.

Кстати, верно ли я понимаю, что И.Петрова взломали, когда он физически был в Германии и пользовался местным халявосервисом? Почему-то я подозреваю, что если пзвонить в халявосервис по-немецки и убедительно поговорить про забытый пароль - вышлют.

А Хелл в каком городе живет, я забыл... В Бонне, что ли?

Про Хэлла слышала только, что в Германии.

Чем этот пароль плох? Его легко "подобрать"?

Именно этим.

Дима, а ничего, если я попрошу Вас дать мне ссылку на программы, которые его легко подбирают? С указанием времени, требуемого на подбор.
Заранее спасибо.

Тут дело не в программе (программ таких множество, могу порекомендовать те три, с которыми приходилось иметь дело: crack, l0phtcrack и "john the ripper"), а в списке слов, которым данная программа оперирует при переборе, и в списке правил, которые она использует для манипуляции словами. Списоков этих существует множество, как минимум один из них включает в себя искомую фамилию, я проверял (например, вот этот: ftp://ftp.ibiblio.org/pub/linux/distributions/openwall/wordlists/). Также все вышеперечисленные программы умеют вставлять в начале, конце и середине слов из списка какую-нибудь цифру либо число. Этого, в общем-то, уже достаточно для взлома данного пароля, но можно предположить и более эффективный способ: когда существуют правила, согласно которым слова из списка рассматриваются не просто как слова, а как, например, фамилии, и комбинуются с важными датами (год рождения, смерти, получения нобелевской премии) в жизни обладателя данной фамилии.

Ну, блин, там дальше чистый спектакль начинается.

ну вот у Игоря был, полагаю, супербезопасный пароль.
а толку?
или я тоже чего-то не понимаю?
хотя и желаю.

Нет, у Игоря был плохой пароль.

Блин.
Какой бы ни был у меня пароль, сервисы, за которые я плачу деньги, должны в 2007 году предоставлять мне
1. гарантии работы;
2. гарантии юридической безопасности.
Что мы, в самом деле, в игрушку "ориентируйся в 1994" играемся?

А как это? Что должно входить в эти гарантии?

Ну, это значит, что если я просыпаюсь и вижу, что мой дневник удален, я пишу одно простое письмо, и все восстанавливается.
Непонятно нешто?

Хе, это, конечно, хорошо бы. Как только? Я вот тоже хотела бы (и не только я), чтобы identity-theft преступления разруливались бы одним коротеньким письмецом, типа это я вот, а тот, который там, -- это совсем не я, а креветко поганое. Но людям приходится разруливать такие ситуации годами, увы.

Хотя, конечно, простенькую системку бэкапа недурно бы.

Я рад, что эта простая мысль стала Вам очевидна.

Почему самим не бэкапить тогда?
А они другие пакости придумают, dimrub уже парочку возможностей обозначил. Их есть, как говорится.

Знаете, мне вообще все равно. Не моя проблема. Хотите - бэкапте. Мне-то чего?

Я как раз не хочу: мой журнал вряд ли кому-то нужен. Да и вопрос задали Вы.

Роман Григорьевич, Вы как считаете, есть реально надежда убедить 6а бэкапить журналы?

Я пробую убедить Антона сделать это.

Ой, а что это было? Вчера после моей последней реплики я вдруг перестала видеть Ваш журнал. Вы его на время прикрыли, что ли? Чтобы доходчивей было? Меня даже ночью совесть немного помучила, не я ли способствовала? Буду впредь осторожнее :))

Я это делаю, когда беседы перегреваются.
НО вчера это был неудачный ход, в контексте обсуждаемого.

Ну вот, а я из угрызений совести даже написала этот пост :))

Тут есть две разные темы - про бекапы и про identity. То есть часть пожелания - которая про "...и все восстанавливается" - реализовать очень несложно. А вот насчет "я пишу простое письмо", тут все сложней гораздо. Ну вот скажем, получили администраторы сервера письмо - мол, враг похитил мой пароль, верните мне все обратно скорее. Ну и как им предлагается удостовериться в том, что письмо написал реальный владелец аккаунта? А не наоборот, враг - в целях завладения паролем?
Вокруг этого как раз и крутятся все страдания с воровством аккаунтов. Нет достоверной идентификации владельца.

но наиболее проблемная сейчас именно с восстановлением. насколько я знаю, все те чьи дневники взломали относительно быстро вернули себе контроль. только там уж ничего не было.

Роман Григорьевич, я всего лишь ответил на заданный вопрос. Что же касается тезиса о том, что юзер может проявлять сколь угодную халатность, и при этом требовать сохранности своих данных - то я с ним не согласен. Ну, допустим, сделают нам возможность отката, так хакеры будут подзамки в свободный доступ вывешивать. Что тогда будем делать? Чего еще от СУПа или 6апарта можно будет потребовать?

Вы ставите меня в крайность, в смысле отчества.
Что такое "халатность"? Надо вывесить список паролей, не рекомендуемых для использования? Смешно, ага.

Список рекомендуемых.

Может, киллеров вызвать? Пусть отстреливают хакеров. Превентивно.

Вообще, набить морду полуграмотному хакеру, нагло стирающему чужой дневник с годами текстов и комментов - это вполне объяснимое желание. Как и желание высечь, скажем, море, которое только что разметало с таким трудом построенный мост. С тем же примерно результатом.

Нет, Дима, не с таким же.

Вы ставите меня в крайность, в смысле отчества.

Вы первый начали, назвав на Вы с большой буквы :). На самом деле, долго думал, Роман показалось слишком официальным, Рома - слишком фамильярным. В общем, как скажете, так и буду называть :).

Что такое "халатность"? Надо вывесить список паролей, не рекомендуемых для использования? Смешно, ага.

Да нет, зачем же. Есть же простые совсем правила, как хорошие пароли создавать. Если кому фантазия отказывает - всегда можно автоматическими генераторами воспользоваться. Каждый может потратить 5 минут на смену пароля, и еще 10 - на его запоминание, зато потом не надо будет думать, взломают, не взломают. Ну, то есть, может и взломают, но с куда меньшей вероятностью.

Дима, у меня нет такой проблемы.
Я заплатил уже больше стони долларов за сервис.
Я считаю, этого достаточно, чтобы требовать решения вопроса о мудаках.

Так ведь не требуешь. Значит, не считаешь. Или заплатил еще недостаточно.

Полная лажа это, про пароли. И названный пароль вовсе не так легко подобрать - так что ломали наверняка не подбором.
Никто по нынешним временам паролей не подбирает - есть трояны для этого.

кстати, если вЕлик не изобретать, и с fingerprintами не связываться, то есть же one-time-password решения. secureID всякие. они ясно на enterprise ориентированы, но коли блогосервис платный и ценный создателю, то +$20-30 в год за герметичную генерилку на пять лет - это нормально.

но мне кажется, что mail password hack не "брутфорсенный".
очень уж стремно мне это допускать - это значит немцы мышей не ловят и таймауты не повышают автоматически.
но это надо логи смотреть.

Пожалуй, что не брутфорсенный. Имеются еще варианты, судя по всему.

ага.
Дмитрий, а тут кто-то упоминал, что вы наиболее предполагаемые варианты описывали; не сошлетесь?

я в трояна не очень верю. хотя, почтовоклиентские вполне могут, как я понимаю.

Ну, я думал, наиболее вероятный вариант - подбор пароля. Например, если тот же пароль, что и на почте, используется на другом, легко взламываемом ресурсе, то с того ресурса можно добыть файл паролей, а там уже подбором легко - благо, как я тут и писал, пароль этот подбирается в принципе. Но теперь я уже так не думаю.

Ну кое-что можно потребовать, но в целом я согласен, чисто технического решения недостаточно.

Пароль у него был неудачный.

Но сохранить чувство или всё-таки повысить настоящую безопасность?

Это разные вопросы.
Вообще говоря, на состояние 2007 года нету таких проблем. Сервис, за который я лично плачу исправно, с моей точки зрения, должен разбираться сам с доморощенными торквемадами.
Ну, перестану платить, конечно.

=Ну, перестану платить, конечно.
Который раз?

ask google

Он до стольки считать не умеет.

А я перманентный, мне чего перестать?

Я согласен, что вопросы разные, потому и уточнил.

1.Заставлять пользоваться навязаным им сгенерированным паролем.
2.Использовать сертификаты, хранящиеся на флешках.

http://users.livejournal.com/vba_/39983.html?thread=899375#t899375

Тогда надо сначала определиться с тем, что мы хотим защитить и от кого.

А че обсуждать? Мы хотим защитить то, что идиоты хотят сломать. От идиотов.
Нет проблем.

Пока получается, что мы хотим уберечь содержимое своих дневников от парочки небелковых существ с лабильной психикой.
А ведь это не так на самом деле.
На самом деле мы хотим уберечь гораздо большее, хотя и включающее в себя содержимое наших дневников.
И не к ночи помянутые существа хотят сломать гораздо большее.

О. Отлично, кстати. Именно - мы в процессе защиты того, о чем я говорю, защитим то, о чем Вы говорите.

Ну вот - возвращаясь к исходным баранам - экспорт дневников для этого почти совершенно непригоден, именно поэтому им пользуется не так уж много юзеров. И я подозреваю, что импорт дневников тоже не панацея. Или его надо как-то уж очень обдуманно и одновременно производить. Потому что и ЖЖ, и ЛЖР как среды обитанья дневников вовсе не нейтральны.

Хочется защитить связность. И уютность общения. Лично я защищаю их тем, что игнорирую свиней.
А что я отбэкапил свой журнал - так это чтобы легче было игнорировать.

И связность, и уютность. И еще более важные вещи.

во-первых, вы недооцениваете врага, называя его идиотом. он варвар или орк, и даже вполне возможно психически больной, но никак не идиот.

во-вторых, пароль для взлома почты он получил никак не подбором. исключено.

Я недооцениваю?
У меня просто нету слов, чтоб его оценить, да. Враг? Кто враг - вот это креветко? Это одноклеточное идиотическое образование? Я недооцениваю? Оно называется - смегма... нет, слишком громкое слово для него.
Я недооцениваю врага?
Враг - у тебя в штанах, как говорит мой друг Ф. Это - не враг. Это - плесень, грибок. Недоразумение. Не умеющее связать трех слов и полагающее, что если оно удалит чуджие слова, то шанысы его повысятся.
Ага, спасибо. Врага я недооцениваю.
Чучелко вот это. Да?

он (torquemada) отлично говорит и пишет по-русски, практически без ошибок. когда хочет. и рассуждает весьма нетривиально. кроме того, он исключительно быстро работает - мне пришлось однажды сразиться с ним в многочасовом "матче" на одном из форумов вне жж.

да и мат его тоже весьма витиеватый, не сказал бы, что тупой.

Сочувствую Вам. До свидания. Не интересует.

Совершенно верно. Увы.
И объяснения своим действиям он придумывает довольно изощрённые.

А каким путем чучелко чего получило - это пусть патологоанатомы разбираются. Неинтересно. И к интеллектуальным способностям чучелка неикак не относится.
Мудак смертельный и есть мудак.

пароль для взлома почты он получил никак не подбором. исключено.

Почему?

Потому что автор реплики Любит Идиота.

Простите, Роман, но исходя из чего Вы пришли к такому выводу?

Простите, Роман, но это уже не первый коммент, на который Вы не находите нужным мне ответить. Мне уже пора принять это к сведению или всё-таки это случайность?

Простите, случайность, право.

Всё бывает:-)

Кстати, тепрерь, когда длостоверно известно (вскоре будет объявлено), как именно ломался ящик Лабаса, смешно перечитывать рассуждения об уме и дарованиях торквемады.

Я понимаю, что Вам, располагающему дополнительной информацией о происходящем, то,или иное суждение может казаться смешным.
Потому, собственно говоря, я Вас и спрашивала, но ответа так и не получила:-(

1. Раньше я не отвечал за очевидностью: мне кажется, что любые суждения вроде "Геббельс - прекрасный семьянин" не уместны в ситуации войны. Независимо от их справедливости.
2. Теперь я не отвечаю, потому что ржу все время. Очень смешная история, если знать подробности.

1. Мне кажется, утверждение "Геббельс - идиот" также не является самой уместной в ситуации войны, равно как и сопоствления Геббельса и Хелла - в любой ситуации.
2. Что ж, подожду, я тоже люблю посмеяться.

Геббельс по-моему, действительно идиот.
Хелл - тоже.
Это - основание для сопоставления.

:-)

http://www.microsoft.com/rus/athome/security/online/fingerprint_reading.mspx

При условии, что ты работаешь на одном компе.

Есть мобильные варианты, напр., в формате USB... Вообще-то не такое уж абсурдное изобретение, оказывается, как когда-то казалось.

Ну, сами производители (по ссылке) не советуют использовать эту штуку для важных вещей.

Минусы, конечно, очевидные. Эта штука ведь не генерирует пароли на основе папиллярного рисунка, а, судя по всему, просто хранит их где-то локально в зашифрованном виде и с привязкой к URL+поле формы (причем весьма вероятно, что фича эта браузерно-зависимая). И речь идет только о паролях к ресурсам интернета.

то проще уж не сканер отпечатков а просто шифровальный ключ-брелок. таких навалом.

Да! А если сопрут?

ну, там длинный сценарий. обычно есть где-то (на болванке, типа) записаная копия ключа, чтоб можно было по крайней мере открыть все обратно при потере.

ну скажем так -- у обоих вариантов, с ключом и пальцем, есть свои плюсы и минусы.

Строго говоря, и палец тоже ведь могут того... Есть такая блестящая штучка для сигар... Клик!

ну хоть тогда, кажется, проблема сохранности журнальчега отойдет на второй план сама собой.

ИМХО, производители имеют в виду все же не журналы в ЖЖ, а важную финансовую информацию, для получение которой, могут нанять хороших профи, которые, например, уволокут диски с компьютеров.
А для чайников такая система защиты - самое то. В далекой молодости, когда работал системщиком, все никак не мог отучить секретарш приклеивать записочки с паролями себе на экраны.
А фирма должна была работать по стандартам американского министерства обороны. И там подобную практику очень не любили.

это максимальное решение проблемы как ты ее ставишь. Рукописи должны быть негорючими, типа. Проблема подзамков и прочей приватности глобально не решается никак, увы, только случай за случаем.