-Рубрики

 -Фотоальбом

Посмотреть все фотографии серии Личное
Личное
01:24 24.01.2012
Фотографий: 37
Посмотреть все фотографии серии Детство
Детство
11:38 03.04.2008
Фотографий: 8
Посмотреть все фотографии серии Softool 2007
Softool 2007
20:53 05.10.2007
Фотографий: 6

 -Поиск по дневнику

Поиск сообщений в _LexIncorp_

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 15.05.2006
Записей: 2431
Комментариев: 33108
Написано: 62796



9c95126(семь)

Вторник, 22 Июля 2008 г. 01:11 + в цитатник
(семь) заменять на 7.
итак, http://habrahabr.ru/blog/startup/47052.html - сайт BestPersons был взломан сегодня. Украдена пара сотен паролей у тех, кто смотрел сообщения от кого-то там (читайте комменты).
Ну а теперь блогосферу захлеснет(или нет?) волна спама с этим загадочным сочетанием.
Что делать? стучать в аську, телефон или как-то еще своему другу и говорить ему что да как. (что я и сделал пару минут назад).

Кого это коснется? Всех, кто ввел пароли для мультипостинга в свои блоги. Еще тех, кто использует один и тот же пароль везде (правда думаю, что хакерам будет влом вручную что-то вводить и искать ссылки и т.п.).

Эх.... что ж вы творите, господа..(

следим за количеством записей: http://blogs.yandex.ru/search.xml?ft=blog&text=9c951267
отдельно по ЖЖ
Рубрики:  interNET-life


Процитировано 1 раз



CONSTantius   обратиться по имени Вторник, 22 Июля 2008 г. 01:14 (ссылка)
Нет, но зачем?..
Зачем эту комбинацию писать? Соответствующий rss-поток пуст...
Ответить С цитатой В цитатник
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:17ссылка
домен взлома
http://habrahabr.ru/blog/startup/47052.html#comment1010649
рсс поток не пуст, почему я вижу 440 записей?
_LexIncorp_   обратиться по имени статью на хабре стерли... Вторник, 22 Июля 2008 г. 01:18 (ссылка)
Сервис хранения паролей и раздачи их всем желающим
Недавно нашел интересный сервис - он позволял оставлять на нем свои пароли от разных сайтов и, при желании, постить при желании на все эти сайты сразу из одного интерфейса.

Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но мне стало интересно, насколько же защищены пароли пользователей на этих сайтах?

Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и не хранит чужие пароли, ему простительно).

Еще больше я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой. Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно, даже на хабре такого неуважения к безопасности нет.

Но это не самое смешное. Случайно я обнаружил, что если сменить свой емейл в профиле, то система радостно отправляет на новый емейл незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало...

Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?

Написав небольшой скриптик и применив немного психологии (чтобы заставить людей зайти на мой профиль, на котором был этот скрипт), я получил в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная "фишка" того сервиса, о котором идет речь), то получается просто рай для злоумышленников.

Написав совсем немного кода на JS можно получить доступ к паролю человека, постить от его имени в другие его блоги (если он настроил эту "фичу" на сервисе), при удаче (или неосторожности пользователя) получить доступ к его аккаунтам на других сайтах.

Что же это за замечательный сервис?
Это bestpersons.ru, программисты которого с гордостью писали о найденных XSS на самом Jaiku! UPD: уже не гордятся :(

Удачи тем, кто использует сервисы, "объединяющие сайты".

з.ы. а еще они предоставляют OpenID ;)
Ответить С цитатой В цитатник
CONSTantius   обратиться по имени Вторник, 22 Июля 2008 г. 01:18 (ссылка)
Я через google reader ни одной не вижу, хз...
Ответить С цитатой В цитатник
_LexIncorp_   обратиться по имени Вторник, 22 Июля 2008 г. 01:37 (ссылка)

Сервис хранения паролей и раздачи их всем желающим


Недавно нашел интересный сервис - он позволял оставлять на нем свои пароли от разных сайтов и, при желании, постить при желании на все эти сайты сразу из одного интерфейса.

Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но мне стало интересно, насколько же защищены пароли пользователей на этих сайтах?

Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и не хранит чужие пароли, ему простительно).

Еще больше я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой. Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно, даже на хабре такого неуважения к безопасности нет.

Но это не самое смешное. Случайно я обнаружил, что если сменить свой емейл в профиле, то система радостно отправляет на новый емейл незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало...

Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?

Написав небольшой скриптик и применив немного психологии (чтобы заставить людей зайти на мой профиль, на котором был этот скрипт), я получил в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная "фишка" того сервиса, о котором идет речь), то получается просто рай для злоумышленников.

Написав совсем немного кода на JS можно получить доступ к паролю человека, постить от его имени в другие его блоги (если он настроил эту "фичу" на сервисе), при удаче (или неосторожности пользователя) получить доступ к его аккаунтам на других сайтах.

Что же это за замечательный сервис?
Это bestpersons.ru, программисты которого с гордостью писали о найденных XSS на самом Jaiku! UPD: уже не гордятся :(

Удачи тем, кто использует сервисы, "объединяющие сайты".

з.ы. а еще они предоставляют OpenID ;)
безопасность, капец


нравитсяне нравится102 балла

21 июля 2008 14:58

написал http://romanser.habrahabr.ru/
Ответить С цитатой В цитатник
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:38ссылка
Q2W 21 июля 2008 15:04 #   в избранное

+2  - +

Очень и ояень печально.
А так хочется нормальный сервис такого рода!..










VEnis 21 июля 2008 17:14 #   в избранное

0  - +

Не сочтите за рекламу. Я к данному сервису никакого отношения не имею.

http://passpack.com

P.S. Тем, кто будет пробовать этот сервис, советую почитать вначале раздел

http://passpack.com/info/security/

Это позволит составить общее представление о сохранности данных.




Q2W 21 июля 2008 15:06 #   в избранное

+1  - +

Кстати, сейчас почему-то bestpersons.ru лежит. 502-я.




romanser 21 июля 2008 15:07 #   в избранное

+2  - +

Чинят, видать. Посмотрим, чего начинят.




Gravitality 21 июля 2008 15:34 #   в избранное

+3  - +

Вы со своим аватаром как санитар леса (читать интернета) :)




Gravitality 21 июля 2008 16:11 #   в избранное

+2  - +

Наверное, неправильно поняли. Я и имею ввиду, что товарищ romanser как санитар леса находит больные места, а аватар как раз в тему :)




Mobby 21 июля 2008 15:34 #   в избранное

0  - +

Стыдно стало)




greeka 21 июля 2008 15:38 #   в избранное

+7  - +

наверное случайно кому-то отправили пароли на свои сервера :)




M_K 22 июля 2008 00:53 #   в избранное

0  - +

Не, хабраэффект навено :))




schoolptor 21 июля 2008 15:06 #   в избранное

0  - +

У меня "502 Bad Gateway". Да и не жалею.

Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:39ссылка
robotv 21 июля 2008 15:10 #   в избранное

+2  - +

Надеюсь они после этого закроются










romanser 21 июля 2008 15:12 #   в избранное

+2  - +

Закрыться не закроются, но доверять им мало кто будет.




Q2W 21 июля 2008 15:13 #   в избранное

0  - +

А чем они Вам насолили?
(Я так понял, не только этими дырками.)




robotv 21 июля 2008 15:15 #   в избранное

0  - +

Это вопрос чести :Р




el777 21 июля 2008 15:41 #   в избранное

0  - +

Сделать харакири? :) Броситься с высоты на серверный корпус? :)




lomalkin 21 июля 2008 15:56 #   в избранное

−4  - +

Хабракири. "Давайте сделаем хабракири ресурсу <...>" =)
Ничего личного к компании.

По сабжу:
> но отсылать его по почте в открытом виде кому попало...
Простите, но так делает каждый (например при восстановлении пароля). И вообще, я в этом не вижу ничего зазорного, ибо это то же самое (в плане безопасности), что и показывать пользователю (или просто позволять менять менять) пароль через веб-интерфейс по простому незащищенному HTTP.




anycolor счастливый хабрачеловек 21 июля 2008 15:59 #   в избранное

0  - +

Ключевое слово "кому попало".




lomalkin 21 июля 2008 16:05 #   в избранное

0  - +

Да, конечно - мой косяк, я сам потом увидел. Ниже поправка:




lomalkin 21 июля 2008 16:03 #   в избранное

0  - +

Уточнение, я конечно же про "в открытом виде", а не про "кому попало", естесственно надо проверять кому, что и куда слать.

Кстати тут недвано писали про новую соцсеть moskva.ru - поковырялся немного, ужасно багнутый ресурс. Например можно читать чужие "анонимные мнения", которые кстати несовсем и анонимные, еще кой чего можно делать.. Дальше ковырять было лень ибо для меня стратегической важности он не представляет. Ну может кому будет интересно - посмотрите.




destroy 21 июля 2008 19:24 #   в избранное

−1  - +

Это пеееар..? )




lomalkin 21 июля 2008 19:36 #   в избранное

0  - +

Даже не задумывался, что мой пост можно расценить именно так. =) Вы считаете когда кто-то говорит про баги или ошибки на сайте - это можно рассматривать как пиар?




Hint 21 июля 2008 16:25 #   в избранное

+2  - +

Обычно генерируют или новый пароль (который и отправляют), или отправляют на старый e-mail ссылку, перейдя по которой можно будет ввести новый пароль.
Да и вообще хранить пароли пользователей в открытом виде - дурной тон.




lomalkin 21 июля 2008 16:31 #   в избранное

0  - +

Согласен, но это уже детали реализации.
Кстати про "в открытом виде" - я сам в шоке, но так до сих пор делает mail.ru.




niksite 21 июля 2008 22:56 #   в избранное

0  - +

> Простите, но так делает каждый

Мне всё больше встречается ресурсов, где вместо отсылки паролей отсылают ссылку, перейдя по которой можно пароль будет задать. Ссылка, понятно, с коротким сроком годности. Пароль в открытом виде не светится нигде и никогда.

> пароль через веб-интерфейс по простому незащищенному HTTP.

Разумеется, вся работа с паролями должна вестись по HTTPS, как на уважающих себя ресурсах обычно и бывает.




Gravitality 21 июля 2008 15:32 #   в избранное

−4  - +

Точную цифру не помню, но, кажется на Хабре читал что в Бэстперсонс вложено под сотню тысяч долларов США.
Утверждать не могу, но, кажется что-то в этих пределах.

Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:40ссылка
tsepelev 21 июля 2008 15:33 #   в избранное

+3  - +

Пошел себя удалять оттуда, а то недавно уже от гмейла пароль увели










romanser 21 июля 2008 15:36 #   в избранное

0  - +

Из своего ЖЖ тоже запись лишнюю удалите, вы были одним из тех, кого скрипт затронул :]




akira 21 июля 2008 15:39 #   в избранное

0  - +

Так, а кого еще затронуло?




romanser 21 июля 2008 15:43 #   в избранное

0  - +

Неважно, я пароли эти использовать не собираюсь.
Но лучше всем у кого там был "общий" пароль их сменить - я ведь не один такой умный, а своровать их можно было незаметно (если не делать этого массово)




tsepelev 21 июля 2008 15:41 #   в избранное

+1  - +

Вот блин и правда=(
До этого пришло письмо
Пользователь http://denisov.bestpersons.ru/ отправил вам личное сообщение.

Зашел к пользователю и все, оппался?




akira 21 июля 2008 15:43 #   в избранное

+1  - +

А-ха-ха, аналогично пропалился.
*Судорожно вспоминает где еще юзал этот пароль*
С другой стороны, мы знаем кто понесет наказание, если что :)




akira 21 июля 2008 15:44 #   в избранное

+1  - +

Я намекаю не на romanser, а на бестперсонс.




Amamat 21 июля 2008 15:43 #   в избранное

0  - +

В посте описан процесс примерно)




romanser 21 июля 2008 15:43 #   в избранное

0  - +

Такое может случиться на любом сайте. Поэтому не стоит доверять кому попало.




ola 21 июля 2008 16:53 #   в избранное

0  - +

И мне такое приходило... :(




Q2W 21 июля 2008 15:43 #   в избранное

0  - +

Вот кстати, а меня затронуло?
Видел сегодня на бестперсонс, что некий "deniskin" написал мне, но его сообщение, судя по всему, было удалено.
Ну и я зашёл на его страницу, возможно выполнив вредоносный код.




Q2W 21 июля 2008 15:44 #   в избранное

0  - +

*denisov




Exwar 21 июля 2008 16:17 #   в избранное

0  - +

Вот он, герой — http://vkontakte.ru/id4433588




romanser 21 июля 2008 15:49 #   в избранное

0  - +

Если заходили на страничку - значит затронуло.




chemedia 21 июля 2008 16:02 #   в избранное

0  - +

А Вы пароль не меняли?
меня затронуло, теперь не могу подключиться




tsepelev 21 июля 2008 16:05 #   в избранное

0  - +

Тоже самое было, сменил пароль, залогинился по новому паролю и удалил акк




tsepelev 21 июля 2008 16:06 #   в избранное

0  - +

>сменил пароль
через "напомнить пароль"




chemedia 21 июля 2008 16:09 #   в избранное

0  - +

Спасибо, Тоже удалил




nicothin 21 июля 2008 17:09 #   в избранное

0  - +

я заходил на страницу denisov неавторизованным )))
проверьте, плиз, затронуло ли меня (http://nicothin.bestpersons.ru/)




nicothin 21 июля 2008 17:11 #   в избранное

0  - +

п.с. аккаунт свой удалил, так что, можно не проверять...




dmx 21 июля 2008 23:02 #   в избранное

0  - +

Это вы думаете, что удалили.. А ведь база у них собирается и собирается... :)




nicothin 21 июля 2008 23:15 #   в избранное

0  - +

ну, я не предлагаю ментов сжигать, толку о том, где я зареган мало.
а пассы доступа к админкам блогов сменить не сложно.




Amamat 21 июля 2008 15:37 #   в избранное

0  - +

На страницу вашу заходил, благо пароль у меня на bp.ru автосгенереный был.)) Пароли от других сервисов не вбивал) Из bp себя естественно удалю)

Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:41ссылка
Amamat 21 июля 2008 15:38 #   в избранное

+9  - +

Очень, кстати, хочется комментариев представителей ресурса, которые на хабре, насколько я помню, неоднократно отписывались.










chemedia 21 июля 2008 15:40 #   в избранное

0  - +

если я не ошибаюсь то сообщения приходили от пользователя denisoc
с текстом
привет, зарегистрировался на этом сайте гляжу и ты тут
или что то типа такого




DexMorgan 21 июля 2008 15:42 #   в избранное

0  - +

Благо не пользовался. 502 - покраснели, чинят )

"программисты которого с гордостью писали о найденных XSS на самом Jaiku!"
если так - то это вдвойне печально. Как там? "В чужом глазу соринку замечаем..."




akeepaki счастливый хабрачеловек 21 июля 2008 15:49 #   в избранное

0  - +

Приятно, что не перепились ещё хакеры на Руси :). Неприятно, что бестперсонс, с виду такой полезный и симпатичный и неплохо сделанный так подставил своих пользователей.

Мой автосгенеренный пасс видимо у вас :)

А что ж делать простым добрым молодцам? Плагин Noscript юзать к ФФ?




romanser 21 июля 2008 15:53 #   в избранное

+1  - +

Без скриптов на bestpersons, как и много где еще, ничего не работает. Поэтому правильный выход - использовать надежные и разные пароли, никому их не передавать, все важные данные передавать только по https, не использовать сайты, которые не относятся серьезно к безопасности данных.




akeepaki счастливый хабрачеловек 21 июля 2008 15:56 #   в избранное

0  - +

Мда, так сразу и не определишь, кто как относится к безопасности данных. Какие новости не глянь, все профукивают информацию.

Скоро текстовые браузеры опять войдут в моду :)




Mehalich 21 июля 2008 17:00 #   в избранное

0  - +

Реклама (не)далекого будущего: HTTPS. Я за бесопасный интернет. (по аналогии с презервативами) :)




mexxv 21 июля 2008 15:53 #   в избранное

+5  - +





Amamat 21 июля 2008 15:57 #   в избранное

+2  - +

О да, особенно:
"...Печально, что одна из крупнейших социальных сетей русского сегмента интернета препятствует интеграции и объединению сервисов. В конечном счете, выгоду от этого получают все: и пользователи, и сервисы. Надеемся, что в дальнейшем ситуация изменится."




anycolor счастливый хабрачеловек 21 июля 2008 15:57 #   в избранное

+2  - +

Данный случай еще раз подтверждает тот факт, что нельзя складировать пароли в одном месте в интернете.




dreg 21 июля 2008 16:06 #   в избранное

0  - +

Случай подтверждает то, что пароль на то и пароль, чтобы его никто не знал кроме владельца. Я до сих пор с опаской отношусь даже к запоминалкам паролей в броузерах, ведь от ошибок не застрахован ни один разработчик...




Amamat 21 июля 2008 16:10 #   в избранное

0  - +

Отличненько: сервис заработал, удалился))

Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:41ссылка
skazo4nik 21 июля 2008 16:11 #   в избранное

−33  - +

раскрыть комментарий уязвимость была, и была исправлена.

Пользовательские данные не пострадали. ЗЛОУМЫШЛЕННИК получил доступ к небольшой части паролей, использующихся для доступа к сайту Bestpersons.ru.

Пароли пользователей для доступа к другим сервисам хранятся отдельно, в виде препятствующем несанкционированный доступ к ним.
Для пользователей, подвергшихся атаке сгенерированы новые пароли.

Юристы компании рассматривают данный инцидент.










enlarge_your_brainis 21 июля 2008 16:14 #   в избранное

+20  - +

А нерадивые программисты и технический директор были расстреляны? Ведь вам пиздец теперь, ребята. Можете забыть про этот проект.




nileriver 21 июля 2008 16:18 #   в избранное

+3  - +

Голословные утверждения. ;) Ребята конечно облажались по крупному но за кем такого не водилось..




Gravitality 21 июля 2008 16:19 #   в избранное

+2  - +

Ну может и не …дец еще, смогут обыграть, типа, "нас взломали", "проклятые злоумышленники", "мы с вами стали жертвами". Большая часть пользователей, мне кажется, и не узнает об инциденте.




enlarge_your_brainis 21 июля 2008 16:25 #   в избранное

+16  - +

Угу. Главное преставить в "нужном свете". Вместо того чтобы, как положено в подобной ситуации, принести извинения, начали, в лучших традициях современных политиков искать террористов, которые за всё отвественны.
Ну а то что на сервисе ПРЕНЕБРЕГЛИ или просто НЕ СЛЫШАЛИ об основах безопасности, которые бы позволили избежать подобного - можно замять.
"Рядом с чистой водой на нашей кухне была проложена открытая линия канализации. В результате действий ЗЛОУМЫШЛЕННИКА, кинувшего в неё камень и произошло заражение холлерой наших посетителей. Юристы разбираются с ситуацией, пострадавшим заменены тарелки на чистые. Канализация продолжит работу в прежнем режиме, приглашаем всех родственников умерших посетителей посетить наш ресторан."




nileriver 21 июля 2008 16:27 #   в избранное

0  - +

Тут вы тоже не совсем правы. В теории - можно найти в любой конструкции строительной уязвимую точку и туда шибануть. Кто будет виноват в погибших - строители или тот кто ударит в эту точку? Или же ударив человека в висок вы будете пенять на господа бога и хреновое устройство черепной коробки? Так что юристам место обязано найтись в данной ситуации.




persibiz 21 июля 2008 16:32 #   в избранное

0  - +

Что касается юристов - как я понял, автор этого поста обнаружил и доказал наличие данной уязвимости не со злым умыслом.
Аналогия с черепной коробкой мне понравилась. :) Но если продолжать дальше, то в данном случае уместно говорить о том, что в некоторых местах эта коробка от природы была тонка. ;)




nileriver 21 июля 2008 16:39 #   в избранное

−2  - +

Никто и не спорит собственно. Но. "Неправомерный доступ к компьютерной информации". Как бы статья 272. Этот факт гарантированно был. Про то что мой например пароль был изменен(хоть и на BP только) промолчу. Это по идее отягчающее. =) Так что как ни обидно, но законодательство у нас такое. Хотя автор полюбому молодец. Просто меня веселит истерия с которой начали опускать "великие мастера хабра-программирования" создателей BP.
Продолжая аналогию - сначала стоит создать свою "модель человека", да еще и действующую а потом кричать что господь бог ни на что не годен и черепная коробка у него сделана совсем не так как надо.

О. А карму мне уже начали понижать... =)))




meDveD_spb 21 июля 2008 16:43 #   в избранное

0  - +

ваш пароль был изменён не "злоумышленником"))

читай выше:
>> Для пользователей, подвергшихся атаке сгенерированы новые пароли.




nileriver 21 июля 2008 16:48 #   в избранное

−1  - +

То есть таки BP так отреагировал? Хм А то что при заходе на страницу выдавалось то что напоминалка пароля ушла на адрес на яндексе это что? Или же уходил открытый пароль а сейчас BP все пофиксили и сгенерили новые? Открыл бы автор полный лог атаки что ли.. ;)

На самом деле в любом случае это следствие действий конкретного человека. Вся ситуация. И следствия из нее.. Ну читайте в других ветках. Тут вопрос законодательства и этики на самом деле. Формально BP имеет полное право на работу юристов.




persibiz 21 июля 2008 16:43 #   в избранное

0  - +

Я полагаю, что если автор этим занялся, то о том, как себя обезопасить от нападок, он тоже подумал. ;)
Законодательство законодательством, но мы люди и наша сила в способности разрешать конфликты с использованием здравого смысла и логики. ;)
А вот морально-этическую сторону вопроса обсуждать бессмысленно, тут есть как минимум несколько аргументированных мнений.




nileriver 21 июля 2008 16:50 #   в избранное

−3  - +

О чем и речь. Продвигать свою точку зрения о соблюдении этики автором я не буду, но вопрос неоднозначен. Однозначно законодательство.. И будут или не будут BP использовать юристов - вопрос как раз этики. Формально - должны и будут.




anycolor счастливый хабрачеловек 21 июля 2008 16:41 #   в избранное

0  - +

Если Вы долбонете по зданию - точно погибнут люди. В данном случе "ни одно животное не пострадало" (с). Поэтому сравнение не корректно.




nileriver 21 июля 2008 16:45 #   в избранное

+1  - +

Не согласен. В здании может не быть людей. А пострадали ли те кто потеряли пароль от BP сегодня тоже вопрос. По идее такие вещи решает законодательство. Разве нет? В данном случае статья 272. =) К слову. Я не считаю что автор стать и не прав или поступил дурно. Ни в коем случае. Обычно вопросы проверки на секурность решаются в обход законодательства поскольку соблюдается профессиональная этика. В данной ситуации - вопрос сложный с моей точки зрения. Не буду продвигать мою - но ответ на вопрос "соблюдал ли автор профессиональную этику" не видится столь однозначным, вам не кажется?




Gravitality 21 июля 2008 16:29 #   в избранное

0  - +

Сейчас, увы, всё решают деньги, а не совесть.
По совести, конечно, хорошо бы извиниться, но, можешь потерять деньги, хотя, наш народ отходчивый, может быть и простили, а так, не думаю что простят.




nileriver 21 июля 2008 16:25 #   в избранное

−2  - +

Не факт кстати. Там же сидят не лемминги а те кто любят агрегировать свои и чужие данные. А в новости это попадет.. В блогосферу точно. =) Но вообще ребятак кончено да. Подставили откровенно.




persibiz 21 июля 2008 16:35 #   в избранное

0  - +

Ну давайте все же без злорадства. ;)




nileriver 21 июля 2008 16:40 #   в избранное

0  - +

Ни дай боже. Злорадства тут и без меня хватает. ;)




Gravitality 21 июля 2008 16:16 #   в избранное

+7  - +

Мне кажется, не юристы должны себе сейчас одно место рвать, а программисты. Ну или менеджер проекта, в конце концов.




persibiz 21 июля 2008 16:22 #   в избранное

+15  - +

Как Вы жестко-то, "юристы рассматривают данный инцидент", прямо как "большие". ;)
Если бы не этот "злоумышленник", не факт, что Вы бы достаточно быстро узнали об этой уязвимости.




Gravitality 21 июля 2008 16:34 #   в избранное

+1  - +

Верно, и, нормальный злоумышленник хорошенько бы трахнул всех пользователей бэстперсона, а наш - молодец, без лишней скромности.




Q2W 21 июля 2008 16:55 #   в избранное

0  - +

Кто Вам сказал, что он этого не сделал?
Если он сделал только то, что написал, то да.
А ещё могли быть и другие, которые ничего никому не сказали.




Goganchic 21 июля 2008 17:33 #   в избранное

0  - +

Кстати, надо на сервис подать в суд, за моральный ущерб и пусть тогда юристы, как большие рассмотрят все жалобы о потере паролей ;)




persibiz 21 июля 2008 17:36 #   в избранное

0  - +

Да ну, зачем это все. Мне кажется, гораздо эффективнее решать мирно подобные проблемы, если речь, разумеется, не идет о действительно нанесенном ущербе.




anycolor счастливый хабрачеловек 21 июля 2008 16:25 #   в избранное

0  - +

Пароль все также хранится не хешированный?




Goganchic 21 июля 2008 16:28 #   в избранное

0  - +

Какой инцидент?




romanser 21 июля 2008 16:33 #   в избранное

+11  - +

Стоит уточнить. Уязвимости. Если нашли только одну - ищите еще. Я использовал самую простую.




snoopckuu 21 июля 2008 16:36 #   в избранное

+1  - +

Ваш ник соответствует Вашему посту, вернее "сказочному посту". Стыдно за себя что я был там.




persibiz 21 июля 2008 16:45 #   в избранное

−3  - +

О, боже, какой пафос. ;)
Сервис стал принципиально хуже, что ли, от этой уязвимости? Её наличие - это очень плохо, конечно. Но сам сайт хорош, мне нравится.




4upuk 21 июля 2008 18:15 #   в избранное

+2  - +

Самому не смешно ? "Сервис стал принципиально хуже, что ли, от этой уязвимости?" =)) Мне, лично, очень смешно.
Сервис стал <никаким> после этого. После этого пользоваться этим сервисом - это все равно что покупать сейфы из картона :D




Vanok 21 июля 2008 16:46 #   в избранное

+6  - +

Я бы на месте ваших юристов еще бы и доплатил бы злоумышленнику за то, что он выполнил работу ваших же работников. Хорошо, что я такими сервисами не пользуюсь. Всегда считал, что доверять свой пароль надо доверять либо хорошо спрятанной бумажке.



Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:43ссылка
13pm 21 июля 2008 16:47 #   в избранное

+5  - +

Ох уж эти сказки, ох уж эти сказочники (с)
:)










demon969 21 июля 2008 16:50 #   в избранное

+4  - +

ЗЛОУМЫШЛЕННИК
Злой умысел доказан?




payalnik 21 июля 2008 16:58 #   в избранное

0  - +

Спасибо, вы первые, кто скомпрометировали мой пароль. Зол ужасно. Всем расскажу.




Aist 21 июля 2008 17:02 #   в избранное

0  - +

А вы уверены, что вас это коснулось? Вы заходили на БП последние пару дней?
Мне кажется, большинство людей, прочитавших этот пост и имеющих аккаунт в БП сразу посчитали, что их пароли увели. Это совсем не так.




payalnik 21 июля 2008 17:04 #   в избранное

0  - +

Уверен. Мне пришло такое письмо от этого юзера.




4upuk 21 июля 2008 18:07 #   в избранное

0  - +

Классный такой ник - skazo4nik
:D




ooprizrakoo 21 июля 2008 18:40 #   в избранное

0  - +

Слово "Злоумышленник" подразумевает "Злой умысел". Конечно, "неправомерный доступ к компьютерной информации" - это статья УК, но ВАМ В ДАННОМ СЛУЧАЕ лучше бы об этом не упоминать.




hello 21 июля 2008 20:26 #   в избранное

+3  - +

Юристы компании рассматривают данный инцидент. - вы охуели? попробуйте тока romanser тронуть, в конец себя убьете!




nileriver 21 июля 2008 16:16 #   в избранное

0  - +

Чтож за.. =) Пока будем надеятся на вашу честность. А пароли я пошел менять.. Черт. Ему 5 или 6 лет. Я же всех сервисов даже не вспомню.




Skyneon 21 июля 2008 16:17 #   в избранное

+4  - +

Вот как чувствовал и не регился на этом сервисе, а вообще это говорит о том что простите программеры лохи.




Goganchic 21 июля 2008 16:32 #   в избранное

+1  - +

А я как чувтствовал и не знал об этом сервисе :) Видимо меня хранит кто-то свыше, не давая узнать о таких мегасервисах :)




Amamat 21 июля 2008 16:19 #   в избранное

+8  - +

Упс. Пост про Jaiku куда-то пропал)




stoopid 21 июля 2008 16:30 #   в избранное

+16  - +

ЗЛОУМЫШЛЕННИКИ заметают следы, юристы компании уже рассматривают данный инцедент.




apok 21 июля 2008 16:56 #   в избранное

0  - +

Как минимум в Google следы еще поживут некоторое время, да и кросспостов у той статьи много было.




ur001 21 июля 2008 16:26 #   в избранное

+1  - +

Вот для этого и придуман OAuth, чтобы не хранить пароли, а авторизоваться непосредственно на требуемом сервисе и добавить сайт, подобный BestPersons в список доверительных, разрешив доступ только в определённые места.

BestPersons, просто пытался опередить время. В России до поддержки подобных OAuth технологий ещё далеко. Даже такая передовая социалка как Хабр до сих пор не знает что таое OAuth, OpenSocial и тд.




romanser 21 июля 2008 16:31 #   в избранное

−1  - +

Вы путаете. Не OAuth, а OpenID




ur001 21 июля 2008 16:42 #   в избранное

+2  - +

Не, это вы путаете. Посмотрите в Википедии или на Хабре




romanser 21 июля 2008 16:47 #   в избранное

+1  - +

OAuth для авторизации программ. Для авторизации людей - OpenID.
Хотя если вы имели в виду хранение паролей сторонних сервисов на бестперсонс - вы правы. Я вначале про другие пароли подумал.




LDEV 21 июля 2008 16:29 #   в избранное

+1  - +

Хороший проект для оттачивания своей уголовной истории :)
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:46ссылка
denton 21 июля 2008 16:34 #   в избранное

+7  - +

Пожалуй вставлю свои пять копеек. Я думаю стоило сначала написать в поддержку bestpersons.ru, сообщить об ошибке, дождаться ее закрытия, а потом уже писать пост. Все не без греха, но так подставлять людей думаю тоже не стоит.










nileriver 21 июля 2008 16:39 #   в избранное

+3  - +

А вот под этим подпишусь. Это называется "профессиональная этика".




WanderingStar 21 июля 2008 16:41 #   в избранное

+6  - +

C ними поступили так же, как они со своими пользователями. Если писать напрямую в саппорт - скажут спасибо, залатают одну конкретную дырку - и где уверенность, что подобных дыр там не останется? То есть конфиденциальные данные пользователей все еще под угрозой. Гласность - это хорошо. Многие выводы сделают - не только по данному ресурсу, но и вообще по безопасности в сети.




denton 21 июля 2008 16:56 #   в избранное

+1  - +

Ну, никто и не заставляет молчать — пиши, была дыра, нашел, такие нехорошие разработчики и т.п. Я отписал, дыру уже залатали, но на будующее думайте, стоит ли пользоваться.




alenge 21 июля 2008 16:41 #   в избранное

0  - +

а разработчикам сервиса стоит так подставлять людей?




romanser 21 июля 2008 16:45 #   в избранное

+3  - +

Шоковой терапией тут намного лучше лечится. И это урок не только bestpersons, а всем сервисам вообще. Стоит задуматься о хотя бы минимальной безопасности для данных пользователя.




gadub 21 июля 2008 16:48 #   в избранное

+1  - +

можно подумать, вы это написали, только чтобы "мир стал чуточку лучше"
покрасоваться ведь тоже хотелось, разве нет?




romanser 21 июля 2008 16:59 #   в избранное

+4  - +

Несомненно. "Тщеславие - мой любимый из грехов" (c)




Gravitality 21 июля 2008 16:48 #   в избранное

−1  - +

Я считаю что всё правильно сделал. Обычно, саппорт - нечто аморфное, до них не достучаться. Не всегда, естественно. А активно начинают шевелиться лишь тогда, когда петух жареный клюнет.
Да и сколько владельцев различного рода сервисов пересмотрят свою политику безопасности.




denton 21 июля 2008 17:00 #   в избранное

0  - +

А вы попробовали постучать? Я вас ни в коей мере не осуждаю, тем более bestpersons и сейчас ведут себя не слишком красиво, но просто привык именно к таким действиям при обнаружении ошибки.




Gravitality 21 июля 2008 17:08 #   в избранное

0  - +

Я не стучался к ним, т.к. ошибку нашёл не я.




denton 21 июля 2008 17:12 #   в избранное

0  - +

Пардон, меня смутила фраза «Я считаю что всё правильно сделал» и близость коментария romanser. Ну тогда вопрос к автору.




gkirok 21 июля 2008 16:53 #   в избранное

+5  - +

мне интересно а о "найденных XSS на самом Jaiku!" bestpersons сначала у себя написали или разработчикам сообщили ?




Gravitality 21 июля 2008 17:14 #   в избранное

0  - +

Действительно интересно.
Сказочник, ответь!




skazo4nik 21 июля 2008 17:17 #   в избранное

+1  - +

"Good evening!

While working on our project, I've found an error on your site. It can be used for XSS-attack. Just look at this - http://jaiku.com/login?..".

Это цитата из моего письма. Разработчики были уведомлены и исправили ошибку прежде, чем появился пост.




Gravitality 21 июля 2008 17:21 #   в избранное

0  - +

Спасибо.




yeleleo 21 июля 2008 16:37 #   в избранное

−1  - +

очень ново
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:46ссылка
Aist 21 июля 2008 16:40 #   в избранное

+1  - +

Читаю комментарии и поражаюсь. Неужели на Хабре столько гениев, которые пишут без багов, которые видят на 10 шагов вперед, которые не совершают детских, на чей-то взгляд, ошибок? Откуда-то столько злорадства над БП... Я понимаю, конкуренты бы радовались, но так, сторонние люди испытывают какую-то, не понятную, мне радость.










WanderingStar 21 июля 2008 16:48 #   в избранное

+4  - +

Ну конечно же, никто не идеален... Но вот лично меня позлорадствовать потянуло не после сообщения о найденой уязвимости, а после комментария представителя о "злоумышленниках", "юристах" и прочем. Не с той стороны ребята к вопросу подошли, как мне кажется. Образно выражаясь - битву они проиграли, войну пока нет, но с таким подходом - это только дело времени.




Gravitality 21 июля 2008 16:50 #   в избранное

+3  - +

Когда хранят огромное количество паролей, то, политика безопасности должна быть архижесткая.
Как в швейцарском банке.
А если угонят один пароль от какого-нибудь сервиса закладок, например, не так критично.




SeRgimm 21 июля 2008 16:53 #   в избранное

0  - +

Вообще-то, как я понял, пароли юзеров к сервисам полностью защищены. romanser смог "увести" только несколько паролей к самому сайту.




Aist 21 июля 2008 16:57 #   в избранное

0  - +

То что кто-то использует один пароль на все сервисы - это не есть гуд и, пожалуй, сервис тут не виноват. Имея мой пароль от БП romanser врядли что-то получил, кроме моего пароля от БП. Хотя да, было забавно осознать, что и я попался на его "немного психологии". Человеку явно очень хотелось получить мой пароль :)




romanser 21 июля 2008 17:12 #   в избранное

+2  - +

"немного психологии" было применено ко всем активным пользователям сайта. По случайности, ограничений на спам на сайте тоже не существует.




Aist 21 июля 2008 17:17 #   в избранное

0  - +

Фигасе, как я смог попасть в число активных, когда был на БП последний раз ой как давно? Видать, выборка "жертв" велась не только по активности?




romanser 21 июля 2008 17:58 #   в избранное

0  - +

Активность определялась эвристически. И не слишком надежно.




Ad_Astra 21 июля 2008 17:08 #   в избранное

−2  - +

а потому что большинству публики самим написать что-то стоящее - пятую точу от дивана лень оторвать. А осадить "выскочек", которые таки взяли и чего-то добились, пусть и с неизбежными ошибками, погыгыкать по принципу "Акела промахнулся" - это все горазды :(




SeRgimm 21 июля 2008 16:45 #   в избранное

+1  - +

Позлорадствовать все горазды. У каждого сайта есть уязвимости, по мере работы они обнаруживаются и устраняются. Как говорится, кто не без греха, пусть первый кинет в меня камень.




SeRgimm 21 июля 2008 16:47 #   в избранное

+1  - +

т.е. "без греха" конечно )




foff4ik 21 июля 2008 17:03 #   в избранное

0  - +

* написал SeRgimm выглядывая из под 20 метровой горы кирпичей




SeRgimm 21 июля 2008 17:04 #   в избранное

0  - +

))
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:47ссылка
westfild 21 июля 2008 16:48 #   в избранное

+3  - +

Во первых - не сообщив заранее администрации ресурса об найденных ошибках и не дав им хотя бы суток на исправление багов, автор топика поступил, как последняя скотина. Не ошибаются только те, кто ничего не делает. Да - это сильный косяк со стороны БП, но писать такие посты - ещё большее блядство, чем то, которое себе позволили в бестперсон, проигнорировав минимальные требования в отношении безопастности данных клиентов.
Второе - в комментах слышно столько сарказма по поводу лажака со стороны бестперсонс, что становится стыдно за хабралюдей. Не нужно изгаляться над чужими неудачами - чести вам это не делает.

Мне похрен на карму - я не мог промолчать в этой ситуации.










WanderingStar 21 июля 2008 16:53 #   в избранное

+1  - +

Да ну что ж вы сразу к карме все сводите? Это второстепенно. Оно конечно каждый имеет право на собственное мнение, но вот со "скотиной", как мне кажется, вы поторопились... Автор же не описывал способов использования уязвимости. Оно то конечно "умному и намека достаточно", но кажется мне, что при публичном подходе к проблеме устранена она будет гораздо быстрее. "Простимулировали верблюдов скипидаром" (с) Вот это что-то из той же серии...




westfild 21 июля 2008 16:57 #   в избранное

+1  - +

Автор своим топиком просто блокировал работу ресурса - вот что он сделал. А то, что он не выложил скриптов - так их полно готовых в сети. Обладая информацией, что есть XSS уязвимость и работает она из профиля - не нужно быть семи пядей во лбу, что бы начать стричь пороли уже через 10 минут после поста, так что в БП правильно сделали, что отрубили свой сервак.




WanderingStar 21 июля 2008 17:12 #   в избранное

0  - +

Отрубили, исправили, включили. Если вы считаете этот простой самой большой потерей для БП в этом случае, то, мне кажется, вы ошибаетесь. Репутация здесь дороже.
Что же до самого прецедента, то я не считаю себя в праве одобрять поступок автора или называть его скотиной, как это сделали вы. На мой взгляд ситуация несколько неоднозначная - как у первого, так и у второго решения есть свои плюсы и минусы.




westfild 21 июля 2008 17:18 #   в избранное

0  - +

Автор мог запостить этот пост уже после того, как ошибки были исправлены, но он этого не сделал. Он сразу начал выкладывать все нюансы организованной атаки.
Кстати, никто и не сказал, что воровство чужих паролей, а автор топика в открытую об этом говорит, по российскому законодательству предусматривается срок. Не боится?
Что же касательно вырубания сервиса БП - так это они молодцы, что смогли так оперативно всё пофиксить, но иногда всё оказывается куда сложнее и простой мог затянуться на много часов.




SeRgimm 21 июля 2008 16:57 #   в избранное

+1  - +

Он говорил о том, что так не поступают в подобной ситуации. Это все равно что обнаружить у рядом стоящего человека расстегнутую ширинку и начать во всю глотку орать об этом всем вокруг, а потом обьяснить это: "я просто хотел чтоб все получили урок и не забывали застегивать ширинку!"




stoopid 21 июля 2008 17:02 #   в избранное

0  - +

вот здесь голый сотрудник БП показывает пальцем на расстёгнутую ширинку




cyberzx 21 июля 2008 21:36 #   в избранное

0  - +





romanser 21 июля 2008 17:03 #   в избранное

0  - +

Вас не смущает, что оправдывают bestpersons только люди, работающие там или сидящие в соседнем офисе?




nileriver 21 июля 2008 17:06 #   в избранное

0  - +

Про оправдания никто не говорит. Облажались так облажались. Речь идет о этике вашего поступка. Тут несколько разных мнений было о том этично вы поступили или нет. =) И все достаточно аргументированные.




westfild 21 июля 2008 17:08 #   в избранное

0  - +

Здесь никто их не оправдывает - это глупо, т.к. косяк налицо и большой косяк, что тут скрывать. Я говорю про этичность поступка автора топика.




SeRgimm 21 июля 2008 17:08 #   в избранное

0  - +

Это вы с чего взяли?




Aist 21 июля 2008 17:13 #   в избранное

0  - +

Лично мне просто близко это, когда твой проект (проект, за который ты ответсвеннен) ломают и делают это как-то вот так, демонстративно. Это вдвойне неприятно.
Я не работаю в БП и сижу, вроде как, далековато от них (правда, не знаю, где они сидят, может реально в соседнем офисе?) :)




enlarge_your_brainis 21 июля 2008 17:16 #   в избранное

0  - +

Ну дык, а что им ещё делать? Не пособствовать же ЗЛОУМЫШЛЕННИКУ? А то юристы быстро найдут виноватых и лишат премии там. Или работы :-).




cyberzx 21 июля 2008 21:37 #   в избранное

0  - +

оправдание тут не причём. а вот поступок автора топика действительно низкий.




WanderingStar 21 июля 2008 17:23 #   в избранное

+1  - +

Экую вы аналогию привели. Давайте я вам другую покажу: едем мы значит в транспорте и видим у мужчины через 4 сиденья бумажник из кармана торчит. И здесь у нас 2 выхода. Первый - пока мы тихо так шепчем "мужчина... нет, не вы... и не вы - ну то что справа от вас - толкните его пожалуйста" кто-то более ушлый уже утягивает этот бумажник и выходит на ближайшей остановке. Ну и второй - мы громогласно объявляем, что у человека который сидит на таком-то сиденье и одет в такую-то одежду из кармана торчит бумажник. Ну да - все посмотрели и подумали: "Лох", но вместе с тем мужчина остался со своими деньгами и все кто его лохом посчитал потянулись в своим бумажникам, проверили - а на месте-ли ну и затолкали поглубже...
Разницу улавливаете?




SeRgimm 21 июля 2008 17:26 #   в избранное

+1  - +

Разницу улавливаю, пример не в тему, у автора поста была возможность по тихому сообщить админам БП а в вашем примере вы вывернули ситуицию наизнанку.




WanderingStar 21 июля 2008 17:39 #   в избранное

+1  - +

Значит не улавливаете. Ваш пример тоже совсем не в тему был. Ибо не учитывал одного момента - это ваш мужик с расстегнутой ширинкой не предлагал всем к нему в ширинку деньги засовывать и не обещал их там безопасно хранить.




Aist 21 июля 2008 16:53 #   в избранное

0  - +

Полностью согласен.
Я не верю, что при должном желании и наличии времени можно найти ошибки в любых приложениях. Да, начиная работать с критическими пользовательскими данными нужно понимать, что это накладывает дополнительные требования к безопасности, разработчики БП облажались. Но, как верно было замечено, не ошибается только тот, что ничего не делает.




stoopid 21 июля 2008 16:59 #   в избранное

0  - +

ой, а искать ошибки в jaiku, не позаботившись о собственной о безопасности пользователей, разработчики не поступили как последние... ну пускай предпоследние скотины?(важно донести до общественности о критических уязвимостях подобных сервисов)

и самое главное :)
тот, кому действительно "похрен на карму" о ней и не вспоминает.




westfild 21 июля 2008 17:04 #   в избранное

+1  - +

Про карму - возможно вы и правы.
А если по сути - то я не оправдываю БП, как вы могли заметить, а веду разговор про автора топика, который поступил крайне непорядочно.
Я понимаю, если бы БП был конкретным говноресурсом или вторым TOP4TOP, который не хаил только ленивый. На мой взгляд БП - очень классно сделаный сервис с нормальным будущим, хотя пользоваться им я никогда не буду по причине отсутствия у меня блогов, социальных аков и т.д.




Ad_Astra 21 июля 2008 17:01 #   в избранное

0  - +

Согласна абсолютно. Не ошибается только тот кодер, который пишет разве что хелоуволды на бейсике. Понимаю, авторам сервиса нелегко выдержать этот шквал негодования - но по крайней мере я в них верю. Ребята делают реально полезное дело (сама с радостью юзаю) - желаю им не сдаваться и делать это дело раньше на благо юзеров!




Ad_Astra 21 июля 2008 17:02 #   в избранное

0  - +

тьфу. делать ДАЛЬШЕ, разумеется. Пора спать :)




dime 21 июля 2008 17:39 #   в избранное

+3  - +

Как скоты поступают бп, растопыривая палтсы про "юристов" и ЗЛОУМЫШЛЕННИКА. Спороли херню, а наказать за это хотят постороннего человека, который им на это пальцем показал. Свинство с большой буквы. Вот за ЭТО,а не за ошибки (с кем не бывает) лично я никогда в жизни не воспользуюсь этим сервисом.




gkirok 21 июля 2008 17:03 #   в избранное

+5  - +

несколько неадекватная реакция: юристы, злоумышленники.
мне кажется следущий кто найдет уязвимость на бестперсон, не будет никуда сообщать в том числе на сам ресурс, ибо незахочет с такими связываться.
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:47ссылка
eatart 21 июля 2008 17:06 #   в избранное

−2  - +

эх. 502. хотел зайти и вспомнить, регался там или нет (:










skazo4nik 21 июля 2008 17:14 #   в избранное

+5  - +

господа, чуть внимания.

В данном случае имела место уязвимость. Возможно, "публичный" способ указания на ошибки и более действенен для некоторых, но мы всё же предпочитаем вести корректный и этичный диалог и с пользователями, и с коллегами.

Тут упоминали Jaiku — только зазря, об ошибках саппорт был уведомлён, а исправлены они прежде, чем появился пост.

Личные данные пользователей, пароли к другим сервисам, не пострадали. Пароли восстановлены.

Мы принесли, и приносим извинения пользователям, которых затронул данный инцидент.

На сервисе ведутся дополнительные работы.




Ad_Astra 21 июля 2008 17:18 #   в избранное

0  - +

желаю удачи! И поменьше нервничать из-за всяких бандерлогов, которым лишь бы закидать нечистотами :)




dohlik 21 июля 2008 17:19 #   в избранное

0  - +

Если нет пострадавших, то можно сказать спасибо за найденную дыру и пригласить сотрудничать хабровчан в дальнейшем ;)
ИМХО словами про юристов Вы только испортите отношения.




skazo4nik 21 июля 2008 17:29 #   в избранное

−5  - +

раскрыть комментарий Господа, давайте жить по законам. Законам, которые "законы"; законам чести, этики.

Мы всегда готовы сотрудничать, для этого есть специальная форма на сайте. Сообщения в саппорт рассматриваются. Все сообщения. Оценивается важность предлагаемых нововведений (чаще всего это именно они) и принимается решение. Многие наши пользователи уже успели это ощутить.




payalnik 21 июля 2008 17:44 #   в избранное

0  - +

Я бы поблагодарил сообщившего о баге. Лучше я буду знать, что пароль засвечен, чем обнаружу проблемы с аккаунтами на какой-то из сетей, где он используется. А вам следует извиниться за потраченное мной время.




Gravitality 21 июля 2008 17:19 #   в избранное

+4  - +

Я думаю, был бы с вашей стороны гуманный жест - дать отбой юристам, чтобы не трогали "злоумышленника".




skazo4nik 21 июля 2008 17:31 #   в избранное

+1  - +

Я думаю мы все придём к разумному соглашению. Нам хотелось бы этого.




persibiz 21 июля 2008 17:40 #   в избранное

0  - +

Ну вот, другое дело, молодцы. ;)




Amamat 21 июля 2008 17:23 #   в избранное

0  - +

Удачной технической реабилитации! С этого и надо было начинать.




enlarge_your_brainis 21 июля 2008 17:28 #   в избранное

+1  - +

Срочное сообщие! Пост про Jaiku продолжает удерживаться в заложниках ЗЛОУМЫШЛЕННИКОМ! Боевые отряды юристов готовятся к решительным действиям по освобождению.
Пока никаких ТРЕБОВАНИЙ от ЗЛОУМЫШЛЕННИКА не поступало. Ожидайте известий.
-----
Пока носом не ткнули, вы даже извинений из себя выдавить не смогли. Ну чисто детство - написяли в штанишки и побежали жаловаться маме.




persibiz 21 июля 2008 17:41 #   в избранное

0  - +

Вам не надоело? ;) В первый раз это было смешно, а в третий уже как-то не очень, знаете ли. И меньше злорадства, все мы люди.




romanser 21 июля 2008 17:33 #   в избранное

+5  - +

Включить сайт и оставить на нём XSS как и было - это смело.
Парни, я начинаю вами восхищаться




payalnik 21 июля 2008 17:45 #   в избранное

−1  - +

Ужас какой




romanser 21 июля 2008 17:54 #   в избранное

+3  - +

Правда-правда. Кто не успел утром - еще может успеть зайти на указанный тут выше профиль и подарить свои куки от сайта кому получится.




payalnik 21 июля 2008 18:02 #   в избранное

0  - +

Он вот сюда шлет? http://9c951267.ru




romanser 21 июля 2008 18:11 #   в избранное

+1  - +

точно




payalnik 21 июля 2008 18:13 #   в избранное

0  - +

Ну вот, дали еще одну подсказку, ждем и надеемся.
Жесть, жесть, надеюсь, вы мой пароль не станете юзать...




dohlik 21 июля 2008 17:15 #   в избранное

+1  - +

Помнится, в одной очень хорошей книге по IT-безопасности автор привел в пример созданный им сайт, в котором при регистрации в анкете было одно необязательное поле - "посещаемые пользователем сайты". У большинства юзеров пароли на указанных сайтах совпали с используемым на этом подставном.

Но уж хранить где-то в интернете свои пароли - увольте. Это даже не закопать книжку с записями в укромном месте, а дать ее незнакомцу на улице и договориться о встрече через неделю.




Gravitality 21 июля 2008 17:17 #   в избранное

0  - +

Best Person пора переименоваться в Best Programmers.




Kirax 21 июля 2008 17:30 #   в избранное

+2  - +

Когда я вижу на каком-то сервисе просьбу ввести пароль с другого сервиса, я сразу закрываю окно броузера.
Перейти к дневнику

Вторник, 22 Июля 2008 г. 01:48ссылка
payalnik 21 июля 2008 17:31 #   в избранное

0  - +

Отлично, теперь старый пароль не работает, а новый на почту не приходит. Как мне удалить профайл?










skazo4nik 21 июля 2008 17:34 #   в избранное

0  - +

Прямо сейчас все пользователи, которых это затронуло, должны получить новые пароли.

Если у вас возникли какие-либо сложности, обратитесь ко мне лично и мы решим проблему.




payalnik 21 июля 2008 17:43 #   в избранное

0  - +

Спасибо, уже удалился.




persibiz 21 июля 2008 17:48 #   в избранное

0  - +

Кстати, воспользуюсь случаем.
Есть ли возможность генерировать информеры, подходящие для вставки в профиль того же ЖЖ? Те, что выдаются сейчас, не работают.




skazo4nik 21 июля 2008 17:52 #   в избранное

0  - +

Да, конечно.

http://persibiz.bestpersons.ru/informers… — "информер картинкой" как раз и есть то, что вам нужно. Его можно вставить в профиль ЖЖ, использовав указаный код.




persibiz 21 июля 2008 18:01 #   в избранное

0  - +

Хм, ну ладно, пусть будет картинкой. Просто пользы от него почти никакой, в отличие от JavaScript версии.




payalnik 21 июля 2008 17:55 #   в избранное

+1  - +

Всех защищающих этих товарищей прошу вспомнить, что ошибки ошибками — но нужно соблюдать базовые правила безопасности, первое из которых — НЕ ХРАНИТЬ пароли в плейнтексте.




insaner 21 июля 2008 17:56 #   в избранное

−4  - +

Сушите весла Мистер Х, завтра вас разбудит звонок в дверь, а на пороге будут стоять милиционеры, вот там то вы будете доказывать, кто , как и зачем. Нихуя так просто не бывает.




romanser 21 июля 2008 17:59 #   в избранное

+2  - +

Неужели, bespersons, как и Вконтакте - творение ФСБ? Или это симметричный ответ ЦРУ?




persibiz 21 июля 2008 18:00 #   в избранное

0  - +

Какой вы кровожадный. :)




maximd 21 июля 2008 18:08 #   в избранное

0  - +

пароли нужно хранить в голове или сразу писать на всех стенах :о)




steel 22 июля 2008 01:04 #   в избранное

0  - +

это если паролей штуки 3
если имеешь дело с множеством паролей, то мозгом в кач-ве хранилища не обойтись, к сожалению :(
если поразмышлять с моей колокольни:
у меня на каждый сайт, которым я пользуюсь, отдельный пароль и каждый генерированный и, соответственно, жуткого нечитабельного вида - как их хранить в мозгу?
запомнить такое просто нереально
плюс, в поддержке есть десяток сайтов клиентов в данный момент. у каждого сайта 2-3 разных пароля (админка и фтп как минимум), которые я использую весьма редко. их вообще нереально запомнить

пароли нужно хранить с умом просто. но где-то хранить их все равно приходится




eXtractor 21 июля 2008 20:28 #   в избранное

0  - +

Добрый день!

21.07.2008 произошла атака на сервис Bestpersons.ru. Личные данные пользователей не пострадали.

В целях обеспечения вашей безопасности, сайт Bestpersons.ru производит плановую смену паролей пользователей, подвергшихся атаке.
Ваш новый пароль: *********

Мы приносим свои извинения пользователям, которых затронул данный инцидент.




blockdog 21 июля 2008 20:33 #   в избранное

0  - +

Как раз хотел об этом написать...
Видимо, все-таки бдят (:




meDveD_spb 22 июля 2008 00:37 #   в избранное

0  - +

>> личные данные пользователей не пострадали
ну да, их просто забрали..


>> производит плановую смену паролей
наверно долго план разрабатывли..

Но, суть не в этом, суть в том, что пока отрубали сайт,
они только лишь сменили пароли тому, кто попался,
ничего и не исправив,

Если их грёбаные юристы ещё сработают, то я думаю этим творцам
(по крайней мере высшему руковдству надо будет занятся чем-нибудь другим, ибо с таким отношением (хотя бы взять первый камент сказочника) их теперь нигде не ждёт успех..

p.s. в любом случае большинство уже удалились (надюсь) ;)




consolamentor 21 июля 2008 20:37 #   в избранное

0  - +

Класс, а я просто не успел зайти — поздно почту проверил. Хорошо, что использую всегда уникальные пароли. Спасибо вам :-)




artyfarty 21 июля 2008 23:49 #   в избранное

0  - +

Да-да, тоже повёлся. Хорошо, что никаких своих паролей не доверил — слишком улыбала надпись о том, что пароли хранятся в зашифрованном виде.

Сейчас просто зашёл и удалил свой аккакунт, хорошо что кнопочку ещё не убрали. Нельзя хотеть так много доверия к себе, и так вот его профукать.




yaninna 22 июля 2008 00:50 #   в избранное

0  - +

Спасибо автору за информацию!!!
Очень не хочу удалять аккаунт, однако мой пост в "Новостях" с ссылкой на этот пост - удален, вот тута: http://www.bestpersons.ru/about/news/new…
Мулиша   обратиться по имени Заголовок Вторник, 22 Июля 2008 г. 01:40 (ссылка)
Т.е. если я даже не знаю о существовании такого сайта, мне глюки с паролями не грозят. Или?
Ответить С цитатой В цитатник
Перейти к дневнику
Елдырин   обратиться по имени Вторник, 22 Июля 2008 г. 01:42 (ссылка)
Омг, хорошо что я не воспользовался этим чудо-мультипостингом. Вовремя остановило меня чтото
Ответить С цитатой В цитатник
_LexIncorp_   обратиться по имени сообщения с кодом запрещены Вторник, 22 Июля 2008 г. 01:45 (ссылка)
сказал мне Valez после моих объяснений)
Ответить С цитатой В цитатник
Intelligent_Maniac   обратиться по имени Вторник, 22 Июля 2008 г. 03:04 (ссылка)
зачем мультипостинг? звёздная болезнь и понты...
Ответить С цитатой В цитатник
alesadov   обратиться по имени Вторник, 22 Июля 2008 г. 03:15 (ссылка)
_LexIncorp_, не у авторизоваться на Яру, ни с новым паролем, ни со старым. Из-за этого. да? Ко мне тоже письмецо приходило и на сайт этого типа я ходил, так как письма его у себя не нашел.
Ответить С цитатой В цитатник
Перейти к дневнику

Вторник, 22 Июля 2008 г. 10:10ссылка
на яру именно? хм... а с каким новым? поменяли уже что ли?
меня пускает... может он взломанных решил не пускать?
Перейти к дневнику

Вторник, 22 Июля 2008 г. 17:49ссылка
_LexIncorp_, да, только на Яру. Со старым паролем не мог авторизоваться. Поменял. А он и с новым не авторизует. Пишет, что произошла ошибка при авторизации и пускает меня по кругу. Причем все делается очен медленно, я сначала подумал, что комп завис.
Yulianna_Shutova   обратиться по имени Вторник, 22 Июля 2008 г. 09:34 (ссылка)
о да, меня тоже взломали. Пойду нах удалюсь оттуда. Мне это на фиг не надо)))
Ответить С цитатой В цитатник
Yulianna_Shutova   обратиться по имени Вторник, 22 Июля 2008 г. 09:37 (ссылка)
фак... не удалюсь...
Ответить С цитатой В цитатник
Сочинский_БОМЖ   обратиться по имени Вторник, 22 Июля 2008 г. 11:02 (ссылка)
Вот поэтому я никогда не оставляю пароли, на чужих сайтах. И ни когда не пользуюсь всяческими клиентами.
Ответить С цитатой В цитатник
Kutta_Kara   обратиться по имени Вторник, 22 Июля 2008 г. 11:09 (ссылка)
поймаю - убью!
Ответить С цитатой В цитатник
Сиррум   обратиться по имени Вторник, 22 Июля 2008 г. 11:12 (ссылка)
То есть смена пароля кагбе ничего не даст?
Ответить С цитатой В цитатник
Перейти к дневнику

Вторник, 22 Июля 2008 г. 13:49ссылка
даст. только менять надо все пароли, которые были там или которые такие же как там.
Yulianna_Shutova   обратиться по имени Вторник, 22 Июля 2008 г. 11:16 (ссылка)
мда, хорошо, что у меня везде пароли разные и там я их не оставляла. На самом деле, мужик молодец. Почитала и пост и коменты его. Дал просраться. Хотя можно было это сделать и немного другим способом, но не знаю вняли бы они его советам... Я там всё поудаляла у себя и пароли ещё поменяла и сижу довольная)
Ответить С цитатой В цитатник
la_Distance   обратиться по имени Вторник, 22 Июля 2008 г. 16:06 (ссылка)
Меня там не бывает.
Ответить С цитатой В цитатник
Комментировать К дневнику Страницы: [1] [Новые]
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку