Игорь Петров (labas) wrote,
Игорь Петров
labas

soup du jour

Похоже, с предположением, что в последних взломах (losta, marusja, baobabka) ломали сразу журнал, а не мэйл, я был неправ. В связи с чем хотел бы заметить, особенно для тех юзеров, у кого жж старые и кто ими дорожит:
1) выбор журналов для взлома в данном случае никакой логикой не объяснить, так что потенциально в опасности все
2а) то, что в списке http://www.livejournal.com/tools/emailmanage.bml (каждый из этих адресов можно использовать для запроса пароля от журнала) у вас стоят старые, забытые, несуществующие адреса вас не оберегает, а делает уязвимее.
2б) вы уверены, что ни один из этих адресов не проиндексировал когда-нибудь яндекс в записи или комментарии вашего жж? Если так, то потенциальный взломщик найдет их за пять минут.
2в) многие мэйлсерверы удаляют адреса, которые не использовались последние 90/180/365 дней. Поэтому, если у вас в списке адресов есть vasya.pupkin@mail.ru, о котором вы давно забыли и которым несколько лет не пользовались, то взломщику даже не надо подбирать пароль. Он идет на mail.ru, регистрирует заново адрес vasya.pupkin, после чего становится владельцем вашего журнала.
3a) любой адрес из списка http://www.livejournal.com/tools/emailmanage.bml можно удалить, лишь введя в качестве актуального адреса более ранний из того же списка и подтвердив его. Самый первый адрес удалить нельзя. Подробнее здесь.
3б) пользователи могут попытаться удалить самый первый адрес, списавшись с АТ и идентифицировав себя с помощью кредитки, которой был оплачен жж или иным способом
4) пока на добровольцев из АТ возложены функции и контроля над контентом, и контроля над жж-функционалом, эффективно противостоять взломам они не смогут. Контроль над жж-функционалом должны осуществлять сотрудники компании. О том же здесь.

+++
В системе reCaptcha, которой пользуется жж, обнаружена уязвимость. Некто Вася zcfd, специалист по PHP и компьютерной безопасности из Белоруссии, воспользовался ей и зарегистрировал более, чем 20000 ботов, которые все его с радостью зафрендили. Еще чуть-чуть и он обогнал бы в рейтинге Тему, но яндекс забанил его на взлете.
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 36 comments