по следам

[avva]

Некоторые последствия истории с эпидемией ЖЖ-спама и кражи аккаунтов:

• Avva предупреждает на плакате zhgun'а
  
• А statisticai видит забавный сон обо мне
  
• tom_ohawk объясняет принципы безопасности паролей. Всё равно никакие объяснения не помогут, увы, и пользователи будут продолжать выбирать пароли, которые ничего не стоит отгадать или подобрать.
  
• Я написал руководство по секьюрити ЖЖ.
  
• В код LiveJournal была добавлена возможность для администратора быстро перекрыть распостранение любой HTML-формы.

Comments

[lavinya.livejournal.com]

Классный плакатик и классный сон!
Хоть что-то веселое вышло из этого бардака.
Я все никак не опомнюсь... От Пепел был такой звонок мне на сотовый, я думала, что-то действительно серьезное приключилось.

А это, вообще-то, из серии все "наши глупости и мелкие злодейства" (c)

[rydel23.livejournal.com]

Последнее, про возможность блокировки, - это самое важное.

А для меня в этой истории самым интересным стало то, что этот чувак буквально наш сосед по дому (http://www.livejournal.com/community/rulj/659086.html?thread=4268430#t4268430). ...Минские "кулхацкеры".

[kukutz.livejournal.com]

А Вы не могли бы его родителям позвонить?

Рассказать, чем сын занимается, и что ему за это может быть?

[dimrub.livejournal.com]

И что, надеяться на то, что они его отшлепают? А вот если бы ему домейн закрыли - хоть какая польза была бы.

[adelka.livejournal.com]

а как вы себе это представляете? а телефон его я и вам могу дать (+3750172154560 или 6045 - я не помню)
(если вы мне внятно объясните, что ему сказать - то я готова позвонить.. особенно как объяснить это родителям, которые я уверена на 99% не разбираются ни в компьютерах, ни в интернете...) и какой результат вы ждете?

[kukutz.livejournal.com]

Здравствуйте.

Я звоню Вам, чтобы сообщить, что натворил Ваш сын. Скорее всего, Вы ничего не знаете, хотя это может угрожать и Вам.

Он занимается незаконной деятельностью: взламывает компьютерные системы в Америке и России.

Если ему не объяснить, что такие действия необходимо прекратить, то его могут посадить в тюрьму.

Если Вы что-либо понимаете в компьютерах и интернете, я могу рассказать, что конкретно Ваш сын натворил.

...

Его счастье, что администрация сервиса LiveJournal не имеет желания довести дело до суда.

Очень советую Вам сделать ему строгое внушение.

Спасибо, что выслушали.

В следующий раз может позвонить уже милиция и в дверь.

[leprechaun.livejournal.com]

А Вы где живете в Минске? Я на Калиновского жил.

[adelka.livejournal.com]

мы жывем у сухарава.
(але на каліноўскага ў мяне шмат сяброў)

[leprechaun.livejournal.com]

Я жил в 19-ом доме

[adelka.livejournal.com]

в 19 доме живет моя лучшая подружка :)
(Наташа Шарапкова + еще знаю пару человек)

[leprechaun.livejournal.com]

Хе :)

В 16-ой квартире? :)

[adelka.livejournal.com]

ну.. не знаю (вроде нет)
завтра спрошу у нее :-)
а вы ее знаете?

[leprechaun.livejournal.com]

Не помню такой. Просто сам в 16-ой 15 лет прожил :)

[adelka.livejournal.com]

35-aja

[leprechaun.livejournal.com]

Ага, это соседний подъезд. Небось, в 93-й или 100-й школе училась...

[nihao-62.livejournal.com]

А как Вы относитесь к тому, что на lj.com.ua тоже просят вводить LJ логин и пароль?

Или это "уполномоченный" ресурс?

[avva.livejournal.com]

Отрицательно.

У LiveJournal нет вообще никаких "уполномоченных сайтов" кроме самого
LiveJournal.

[sova.livejournal.com]

Я понимаю, что у вас там головной боли хватает, но может быть стоит сделать authentication service?

Например так: пользователь нежимает кнопку где-нибудь на livejournal.com и генерит некий код (MD5 hash of his login and the hashed password, or whatever). После этого этим кодом он может пользоваться как паролем на любом другом сайте. Другой сайт посылает ЖЖ логин и код, и получает ответ да/нет. Ничего другого с этим кодом сделать нельзя.

[avva.livejournal.com]

Если это грамотно делать, то нужно так, что каждый сервис мог
использовать свой отдельный вид такого кода, чтобы нельзя было одним
кодом для всех внешних сервисов воспользоваться.

В принципе эта идея давно в воздухе витает, но руки не дошли пока, и
никто извне не взялся сделать.

[dimrub.livejournal.com]

Плакат, увы, не видно.

[ezh.livejournal.com]

Есть анекдот про наркомана на измене, который траву прятал и перепрятывал, потому что менты придут и найдут. В итоге менты пришли и он им траву сам отдал. Вот и юзер сейчас начнет менять пароли, менять, менять. А потом сойдет с ума и вместо пароля наберет логин. Тут-то и кранты его журналу.

[eugenegp.livejournal.com]

это то, что ищете?
http://www.livejournal.com/users/chuchu_/3590.html?mode=reply

[avva.livejournal.com]

Уже старое и недействительное, можно не обращать внимания.

[dimrub.livejournal.com]

Ага, дошло, наконец: из пропощщеных форм удаляется action. Хотя непонятно, почему уж тогда не удалять всю форму.

[ifyr.livejournal.com]

Понятно, что все равно никакие объяснения не помогут, у среднего пользователя -- один несложный пароль на все сервисы. Поэтому никогда не мог понять, почему сервисы вроде ЖЖ высылают пароль по почте, вместо того, чтобы менять пароль и высылать уже _новый_ пароль, не помогая взлому других сервисов этого же юзера.

Меня, например, ужасает сама мысль о том, что кто-то, завладев моей _сессией_, получает доступ к моему паролю.

[mryam.livejournal.com]

Просто интересно, а что, ничего похожего раньше не было? То есть попались новенькие или доверчивые?

[avva.livejournal.com]

Было, конечно, но обычно в меньших масштабах.

[zigmar.livejournal.com]

А еще про эту историю с ссылкой на вас написали в "Компуленте":
http://www.compulenta.ru/2004/1/27/44721/

[avva.livejournal.com]

Спасибо за ссылку. Да, действительно, они мне прислали по почте
несколько вопросов, и я ответил, всё честно ;)

пароли склерозы и брутфорсы

[tom-ohawk.livejournal.com]

Доброго, Анатолий

эхх.. ежели бы я специально задался целью написать руководство,
то получилась бы 1001-я очередная длинная-предлинная портянка
которую и скучно и неинтересно читать, развитие событий в rulj
видел, ужаснулся что все так запущено и тогда только осознал, что
в Livejournal много замечательных людей, которые видят его не
глазами компьютерщиков или программистов, а взорами поэтов и
журналистов и что им такая мелочь как изощренный пароль. Так
что запись я забросил поверхностную, прямо скажем - на эмоциях,
потому как ptiza_ и ollka читаю и было очень обидно,
что хорошие люди по неопытности попали "под каток".
Еще, разумеется, впечатлился Вашей и команды LJ действиями
спокойными и вполне эффективными.

А в треде может завязаться обсуждение другой темы:
как придумать набор охренительных паролей чтобы самому их не забыть?

опять-таки, хоть и неэтично приводить себя в пример - помню примерно
сорок хорощих паролей, ну все-таки сисадминская практика, но случается
забываю какой ключ от какой двери... тем более, что и механика
человеческой памяти не столь уж изучена и вполне индивидуальна..

P.S. Ваше руководство по security - это серьезно. Особенно про
почтовые адреса, тем более, что сложно сказать на какие именно
адреса можно делать ставку с точки зрения исторической перспективы,
у меня вот на работе почти наверняка админ почтового сервера пропускает
весь SMTP через пакетный анализатор типа Iris или через ETrust IDS,
где письма сразу расшифровываются до ASCII и/или HTML - то есть против
санкционированного сисадмином сниффера - контрмер почти нет, хотя
тот навряд-ли станет ломать мне LJ. Да и место работы за несколько лет
вполне может поменяться. Тоже тема для обсуждения о "меньшем зле":
есть ли надежные публичные системы электронной почты?

P.P.S. я сильно-сильно извиняюсь за совершенно откровенный оффтоп,
вдруг посоветуете насчет собранных в список русских Syndicated Feeds (http://www.livejournal.com/users/tom_ohawk/19328.html)
то есть я не вполне понимаю зачем эта забавная иконка у anekdot_ru
ведь есть, к примеру, nnm_news френдование которого
не стоит lj-юзерам никаких условных кредитов. Вот, собственно и why such?
Полная непонятка чем Syndicated лучше. и для кого...
:|

[avva.livejournal.com]

Syndicated accounts работают со стандартными RSS-лентами. Эти аккаунты
пополняются автоматически скриптом, который бежит на серверах ЖЖ. Для
того, чтобы создать syndicated account, отражающий содержимое какого-то
сайта новостей или веблога, достаточно, чтобы этот сайт или веблог
поддерживали экспортирование своего контента в RSS (а это верно для,
пожалуй, большинства веблогов и большого числа сайтов с новостями или
другим линейно растущим контентом).

Есть аккаунты, которые не являются syndicated accounts с точки зрения
ЖЖ, но их пополняет автоматически какой-то скрипт вне ЖЖ. Т.к.
LiveJournal не может отличить такие журналы от "обычного" ведущегося
вручную журнала, они являются обычными аккаунтами. Но не любой юзер
может их создать, т.к. для этого нужно как минимум уметь скрипт
написать, отладить и запустить где-то.

спасибо за разъяснение

[tom-ohawk.livejournal.com]

О! Спасибо за разъяснение
то есть получается, что новостную ленту может организовать
с любого из RSS-eanbled сайтов может оргагнизовать любой
пользователь (прикинувшись RSS ридером) или это все ж
прерогатива владельцев тех сайтов и на то (LJ-присутствие)
нужно их любезное разрешение? (в FAQ это не разъясняется,
но страшно любопытно, могу ли скажем я завести лж-юзера и
отшлюзовать на этот эккаунт интересующий меня, но пока
отсутствующий в LJ веб-сайт, скажем, с новостями) ?

[avva.livejournal.com]

что новостную ленту может
организовать с любого из RSS-eanbled сайтов
может оргагнизовать любой пользователь

Да, заходите на http://www.livejournal.com/syn/ и вперёд.
Юзера создавать не надо заранее, это как раз делает механизм
создания RSS-аккаунта. Правда, нужны всё те же syndication points.

хорошая мысля приходит опосля

[shpriz.livejournal.com]

Нужно было самого Дубовника, или как его там, спалмом закидать: как только появилась такая форма, где просили внести пароль и имя юзера, надо было всем начать заносить вымышленные имена, и побольше, вероятность совпадений с настоящими - минимальная, а он бы быстро запарился проверять. Он ведь должен был все сам вводить или он мог бы сразу автоматически проверить?