по следам

[avva]

Некоторые последствия истории с эпидемией ЖЖ-спама и кражи аккаунтов:

• Avva предупреждает на плакате zhgun'а
  
• А statisticai видит забавный сон обо мне
  
• tom_ohawk объясняет принципы безопасности паролей. Всё равно никакие объяснения не помогут, увы, и пользователи будут продолжать выбирать пароли, которые ничего не стоит отгадать или подобрать.
  
• Я написал руководство по секьюрити ЖЖ.
  
• В код LiveJournal была добавлена возможность для администратора быстро перекрыть распостранение любой HTML-формы.

Comments

[lavinya.livejournal.com]

Классный плакатик и классный сон!
Хоть что-то веселое вышло из этого бардака.
Я все никак не опомнюсь... От Пепел был такой звонок мне на сотовый, я думала, что-то действительно серьезное приключилось.

А это, вообще-то, из серии все "наши глупости и мелкие злодейства" (c)

[rydel23.livejournal.com]

Последнее, про возможность блокировки, - это самое важное.

А для меня в этой истории самым интересным стало то, что этот чувак буквально наш сосед по дому (http://www.livejournal.com/community/rulj/659086.html?thread=4268430#t4268430). ...Минские "кулхацкеры".

[nihao-62.livejournal.com]

А как Вы относитесь к тому, что на lj.com.ua тоже просят вводить LJ логин и пароль?

Или это "уполномоченный" ресурс?

[dimrub.livejournal.com]

Плакат, увы, не видно.

[ezh.livejournal.com]

Есть анекдот про наркомана на измене, который траву прятал и перепрятывал, потому что менты придут и найдут. В итоге менты пришли и он им траву сам отдал. Вот и юзер сейчас начнет менять пароли, менять, менять. А потом сойдет с ума и вместо пароля наберет логин. Тут-то и кранты его журналу.

[eugenegp.livejournal.com]

это то, что ищете?
http://www.livejournal.com/users/chuchu_/3590.html?mode=reply

[ifyr.livejournal.com]

Понятно, что все равно никакие объяснения не помогут, у среднего пользователя -- один несложный пароль на все сервисы. Поэтому никогда не мог понять, почему сервисы вроде ЖЖ высылают пароль по почте, вместо того, чтобы менять пароль и высылать уже _новый_ пароль, не помогая взлому других сервисов этого же юзера.

Меня, например, ужасает сама мысль о том, что кто-то, завладев моей _сессией_, получает доступ к моему паролю.

[mryam.livejournal.com]

Просто интересно, а что, ничего похожего раньше не было? То есть попались новенькие или доверчивые?

[zigmar.livejournal.com]

А еще про эту историю с ссылкой на вас написали в "Компуленте":
http://www.compulenta.ru/2004/1/27/44721/

пароли склерозы и брутфорсы

[tom-ohawk.livejournal.com]

Доброго, Анатолий

эхх.. ежели бы я специально задался целью написать руководство,
то получилась бы 1001-я очередная длинная-предлинная портянка
которую и скучно и неинтересно читать, развитие событий в rulj
видел, ужаснулся что все так запущено и тогда только осознал, что
в Livejournal много замечательных людей, которые видят его не
глазами компьютерщиков или программистов, а взорами поэтов и
журналистов и что им такая мелочь как изощренный пароль. Так
что запись я забросил поверхностную, прямо скажем - на эмоциях,
потому как ptiza_ и ollka читаю и было очень обидно,
что хорошие люди по неопытности попали "под каток".
Еще, разумеется, впечатлился Вашей и команды LJ действиями
спокойными и вполне эффективными.

А в треде может завязаться обсуждение другой темы:
как придумать набор охренительных паролей чтобы самому их не забыть?

опять-таки, хоть и неэтично приводить себя в пример - помню примерно
сорок хорощих паролей, ну все-таки сисадминская практика, но случается
забываю какой ключ от какой двери... тем более, что и механика
человеческой памяти не столь уж изучена и вполне индивидуальна..

P.S. Ваше руководство по security - это серьезно. Особенно про
почтовые адреса, тем более, что сложно сказать на какие именно
адреса можно делать ставку с точки зрения исторической перспективы,
у меня вот на работе почти наверняка админ почтового сервера пропускает
весь SMTP через пакетный анализатор типа Iris или через ETrust IDS,
где письма сразу расшифровываются до ASCII и/или HTML - то есть против
санкционированного сисадмином сниффера - контрмер почти нет, хотя
тот навряд-ли станет ломать мне LJ. Да и место работы за несколько лет
вполне может поменяться. Тоже тема для обсуждения о "меньшем зле":
есть ли надежные публичные системы электронной почты?

P.P.S. я сильно-сильно извиняюсь за совершенно откровенный оффтоп,
вдруг посоветуете насчет собранных в список русских Syndicated Feeds (http://www.livejournal.com/users/tom_ohawk/19328.html)
то есть я не вполне понимаю зачем эта забавная иконка у anekdot_ru
ведь есть, к примеру, nnm_news френдование которого
не стоит lj-юзерам никаких условных кредитов. Вот, собственно и why such?
Полная непонятка чем Syndicated лучше. и для кого...
:|

хорошая мысля приходит опосля

[shpriz.livejournal.com]

Нужно было самого Дубовника, или как его там, спалмом закидать: как только появилась такая форма, где просили внести пароль и имя юзера, надо было всем начать заносить вымышленные имена, и побольше, вероятность совпадений с настоящими - минимальная, а он бы быстро запарился проверять. Он ведь должен был все сам вводить или он мог бы сразу автоматически проверить?