Да уж... Разбор полетов.

Цитата:

от: Moderator
Все красные кнопки все равно рано или поздно раздам. Просто подходящих кандидатов никак нет. :(

Вы обращайтесь, мы Вам подскажем :) Я так вижу вполне достаточно народа. Или Вы обязательно хотитебуйных, вроде меня ;) А по мне модератор должен быть незаметен, как Вы или Волод, и появляться только тогда когда его вмешательство требуется, и делать это не публично а в приватной манере.

Цитата:

от: Moderator
обиженных Пушером вагон и маленькая тележка, так что искать виноватого особого смысла нет

Согласен, искать не надо.

Сделал две маленькие вещи - запретил рассылку забытых паролей красныхкнопокдержателям и блокирование этих самых красных-кнопко-держателей кем бы то ни было.

Все остальное - досадный инцидент. И отношусь к этому соответствующе.

То, что каждый может потерять свои данные потеряв пароль от почты - совершенно нормальное явление. За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Цитата:

от: Volod
... За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Могучая сила - статистика !!! И многогранная.

Цитата:

от: Volod
За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Похачили единственного, кого имело смысл хакать. :?

Цитата:

от: Shleps
Цитата:

от: Volod
За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Похачили единственного, кого имело смысл хакать. :?

А нас за что?! Чтобы ему веселей жилось?

Цитата:

от: Shleps
Цитата:

от: Volod
За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Похачили единственного, кого имело смысл хакать. :?

За что ему спасибо. С 95го года, как я впервые выпал в сеть меня хакнули впервые. Расслабился. :) Но ничего, теперь буду умнее и извлеку (уже извлекаю) полезный опыт. Ничего страшного.

Цитата:

от: Dead Elvis
Цитата:

от:Shleps
Цитата:

от:Volod
За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Похачили единственного, кого имело смысл хакать. :?

Подробнее

За что ему спасибо. С 95го года, как я впервые выпал в сеть меня хакнули впервые. Расслабился. :) Но ничего, теперь буду умнее и извлеку (уже извлекаю) полезный опыт. Ничего страшного.

Подробнее

С боевым крещеньицем тогда...

Цитата:

от: Владимир_В
Цитата:

от:Shleps
Цитата:

от:Volod
За полтора года пароль по почте запросили ДВАДЦАТЬ ШЕСТЬ ТЫСЯЧ человек. Похачили ОДНОГО. Хотя, согласен, было шумно.

Похачили единственного, кого имело смысл хакать. :?

Подробнее

А нас за что?! Чтобы ему веселей жилось?

Подробнее

А что нас? У кого-то кроме Пушера снесены фотки или есть другая невосполнимая потеря информации? Ежу было понятно, что жить хаку до понедельника. Надо радоваться, что хакер местный, не потер, что мог - видно ему этот ресурс самому нужен.

Тем не менее, при определенных условиях мы ЕЩЕ МОЖЕМ пострадать.

Внимание - вопрос Володу, а может ли Пушер видеть поля в БД, отвечающие за privacy: IP, пароль, скрытый почтовый адрес итд?

Цитата:

от: Shleps


Внимание - вопрос Володу, а может ли Пушер видеть поля в БД, отвечающие за privacy: IP, пароль, скрытый почтовый адрес итд?

А есть ли смысл отвечать вот так, открыто и для всех?

Цитата:

от: Dead Elvis
Но ничего, теперь буду умнее и извлеку (уже извлекаю) полезный опыт. Ничего страшного.

Страшного нет, но противно. А вот когда на твой сервак впихивают руткит, а потом личный irc-сервер, да еще с функцией проксирования при соединении со штатными IRC. И ты замечаешь это случайно, через пол-года - вот тогда по-настоящему плохо. И страшно.

Цитата:

от: Владимир_В
Цитата:

от: Shleps


Внимание - вопрос Володу, а может ли Пушер видеть поля в БД, отвечающие за privacy: IP, пароль, скрытый почтовый адрес итд?

А есть ли смысл отвечать вот так, открыто и для всех?

Вот ТЕПЕРЬ - это имеет смысл. Если "ответ" - да, значит пора менять пароли. Например, я свой уже поменял. Тем не менее я буду знать, что информация, о том где я работаю - уплыла.

Как правило, у людей выступающих на нескольких сайтах под реальным именем - одинаковый пароль на эти сайты. И второй пароль - на все остальные. Еще один пароль на домашнюю машину, еще один - на рабочую, и еще один - на банковские системы. Это если человек разбирается в безопасности, средне ленив, и выполняет стандартные инструкции не в параноидальном режиме.

Представьте, что товарищ кулхацкер, пользуясь случаем, тиснул еще и пароли. Воплне можно поковыряться в почте, попытаться пролезть на другие ресурсы, отхватить пароль на стрим, попытаться (вдруг лох) до карточки добраться. Или просто толкнуть эти данные, как это было в случае с МТС. Перспективы ясны? Тут еще и Адлум может пострадать.

Цитата:

от:Shleps
...

Представьте, что товарищ кулхацкер, пользуясь случаем, тиснул еще и пароли. Воплне можно поковыряться в почте, попытаться пролезть на другие ресурсы, отхватить пароль на стрим, попытаться (вдруг лох) до карточки добраться. Или просто толкнуть эти данные, как это было в случае с МТС. Перспективы ясны? Тут еще и Адлум может пострадать.

Подробнее

А я думал - что я параноик... :D

Вроде бы сервак не порутили, а дырявость мэйл-ру - давно уже притча во языцах. Да и что от нее ждать то, от халявной почты ?
Вообще забавно было бы завести себе ящик там с паролем, подходящим ко всему - от входа в мастдайку до вертификации банковских платежей... это просто как приглашение какое-то, суицид виртуальный...

Цитата:

от:The Preatorian
Цитата:

от:Shleps
...

Представьте, что товарищ кулхацкер, пользуясь случаем, тиснул еще и пароли. Воплне можно поковыряться в почте, попытаться пролезть на другие ресурсы, отхватить пароль на стрим, попытаться (вдруг лох) до карточки добраться. Или просто толкнуть эти данные, как это было в случае с МТС. Перспективы ясны? Тут еще и Адлум может пострадать.

Подробнее

А я думал - что я параноик... :D

Вроде бы сервак не порутили, а дырявость мэйл-ру - давно уже притча во языцах. Да и что от нее ждать то, от халявной почты ?
Вообще забавно было бы завести себе ящик там с паролем, подходящим ко всему - от входа в мастдайку до вертификации банковских платежей... это просто как приглашение какое-то, суицид виртуальный...

Подробнее

Вы меня немного не так поняли - ЧКФР имярек может иметь один и тот же пароль на фото.ру и на почтовый ящик на надежном сервере.

Хацкер ломанул дырявый мэйл.ру, прислал себе пароль Пушера, зашел на сайт под Пушером. Если модеративные полномочия Пушера наряду с красной кнопкой включали просмотр паролей (что вообще-то маловероятно, но теоретически возможно, раз пароли хранятся в БД в нешифрованом или обратимошифруемом виде), и IP-адреса (что весьма возможно), то в худшем случае хацкер получает пароль ЧКФРа и с ним идет ковыряться во вполне надежном почтовом ящике ЧКФРа имярек. А там может лежать что угодно, включая банковскую информацию. Хотя богатеньких буратин и по списку техники видно. ;)

Цитата:

от:Shleps

Вы меня немного не так поняли - ЧКФР имярек может иметь один и тот же пароль на фото.ру и на почтовый ящик на надежном сервере.

Хацкер ломанул дырявый мэйл.ру, прислал себе пароль Пушера, зашел на сайт под Пушером. Если модеративные полномочия Пушера наряду с красной кнопкой включали просмотр паролей (что вообще-то маловероятно, но теоретически возможно, раз пароли хранятся в БД в нешифрованом или обратимошифруемом виде), и IP-адреса (что весьма возможно), то в худшем случае хацкер получает пароль ЧКФРа и с ним идет ковыряться во вполне надежном почтовом ящике ЧКФРа имярек. А там может лежать что угодно, включая банковскую информацию. Хотя богатеньких буратин и по списку техники видно. ;)

Подробнее

Спасибо за разъяснения.
Кстати, именно такой сценарий я на себя примерил - с паролем.
В моем случае хацкеру достанется еще и право покупать от моего имени на озон.ру... :D

Вот, супруга - модератор одного из форумов на одном из ресурсов - говорит, что IP она видит. Пароли - нет, для этого надобно сам сервак ковырять, БД смотреть.
Будем надеятся на то, что пароль на сервак совпадает с именем любимой кошки Главного Админа - ";?45О78-#2nbm" и никогда не пересылается по е-мэйлу в открытом виде...

Цитата:

от: The Preatorian

Вот, супруга - модератор одного из форумов на одном из ресурсов - говорит, что IP она видит. Пароли - нет, для этого надобно сам сервак ковырять, БД смотреть.

Так и должно быть. Я вот не могу взять в толк, почему хацкер забанил Волода, но не забанил Модератора. А вместе с Пушером надо было и Онищенко с Антропофагусом бахнуть. Лично у меня сложилось впечатление, (исключительно наблюдая чужие перепалки), что как раз Пушер - самый вменяемый из нештатаных модераторов

Цитата:

от: Shleps
забанил Волода, но не забанил Модератора.

($user_id == 1) в принципе забанить было нельзя. :)

Цитата:

от: Shleps
Если модеративные полномочия Пушера наряду с красной кнопкой включали просмотр паролей

Пароли никто не может смотреть - они зашифрованные в базе лежат. Это написано на странице напоминания паролей :)
Цитата:

от: Shleps
IP-адреса (что весьма возможно)

Адреса видны только модератору и только по административному порту из офиса. Так что надо либо конкретно ломать сервер, либо ломать офис. Это совершенно другой уровень квалификации. Адреса светятся еще в одном месте, правда не всегда и это для специалистов :)

Цитата:

от: Volod

Пароли никто не может смотреть - они зашифрованные в базе лежат. Это написано на странице напоминания паролей :)

Гут. Правда шифрование обратимое, так как пароли надо напоминать. Уж лучше сбрасывать на случайный и высылать.

Цитата:

от: Volod
Так что надо либо конкретно ломать сервер, либо ломать офис. Это совершенно другой уровень квалификации.

Это точно ;)
Цитата:

от: Volod

Адреса светятся еще в одном месте, правда не всегда и это для специалистов :)

Дайте-ка попробую угадать....

С того же компьютера, что и X когда-либо заходили Y и Z, вроде на куках сделано....
За access.log снова надо сервер ломать...
А вот какая-нибудь страница статистики в модеративном варианте, на базе того же access.log в режиме выявления хулиганов...
Или подробные отчеты внешней рейтинговой системы, типа хотлога...
Момент регистрации нового ЧКФР.... - не, не интересно, единичный случай.
Архив входящих писем со всеми клуджами... - опять сервак ломать надо. Да и кот наплакал той входящей почты и приватных сообщений.
А, чего-то фантазия после ночных бдений утихла. Скорее всего при обработке хулиганов, там где нужен бан IP-адресов или аккаунтов, есть какой-то левый web-интерфейсик. В общем, вполне нормально все сделано, так что если Пушер будет по прежнему злить хацкеров, придется ему тонны троянов из личного п.я. выгребать. ;)

Цитата:

от: Shleps
Кто взломает мой домашний компьютер, отключенный от Интернета?

Я в своё время, когда ещё были в ходу дискеты, разработал такой проект. Открываешь экселевский файлик на дискете и всё. Дальше начинает работать самый настоящий флоппи-нет, чем-то похожий по принципу действия на ethernet. Т.е. обмен пакетами самый настоящий, даже было понятие "домен коллизий". Важно было только периодически тыкать в него дискеты. На стороне клиента была консоль в стиле незабвенного norton commander, на которой оператор давал команды вида "показать листинг каталога", "скачать такой-то файл" и т.п. Поскольку проект был чисто лабораторный (читай, имел целью научно-исследовательскую деятельность), то никуда не вышел. Начиналось-то это вообще именно с флоппи-нета, это уже потом были сделаны примочки в виде "заражения". Но это если отвлечённо.
А если серьёзно - вы матрицу смотрели? Так вот это всё фигня, по сравнению с тем, как бывает на самом деле. :)