Блог

Сделал недавно новый сайт с нуля и у меня его протестировали на безопасность очень крутая компания. В общем пришел отчет, в котором показана критическая уязвимость - 

In any form field that is expecting sensitive data, set the 'autocomplete' attribute to 'off.'

For example, a simple password field may look like:

<input type="password" name="password" value="" />

Уже несколько дней Microsoft домогается  с тем, чтобы я добавил к своему аккаунту еще один e-mail и номер телефона. У них уже есть по одному экземпляру того и другого, какого черта они домогаются с еще одним. 

Если у меня уведут e-mail, то у меня будет номер телефона, чтобы восстановить доступ. Если я заброшу номер телефона (что в Канаде наверно бывает очень редко, потому что номера без проблем можно переносить на разных операторов), то будет e-mail. Если же я потеряю и то и другое, то даже еще один email скорей всего не поможет, потому что такая жопа бывает очень и очень редко. Хотя я даже представить себе подобное не могу. 

Я не знаю почему, но Webmoney с какого-то перепуга попросил у меня мой сотовый номер для подтверждения транзакции. Раньше этого не было когда я пользовался Webmoney Keeper (кажется так он называется). Причем под полем ввода для номера телефона написано, что с меня снимут деньги за СМС-ку с кодом подтверждения. Что-то мне это счастье не особо нравится. 

Кто знает, что случилось и как отключить? Надеюсь, что где-то в настройках, у меня просто времени сейчас нет искать. Программа итак там привязана к компьютеру так, что хрен отвяжешь, да и у меня пароли достаточно крутые, чтобы платить деньги за код подтверждения. 

У Android найдена серьезная уязвимость, по крайней мере на мой взгляд. Но я считаю, что не наличие такого бага определяет безопасность платформы. Ошибки могут быть в любой сложной системе, а безопасность определяется реакцией производителя. 

Apple обновляет устройства достаточно оперативно, поэтому я считаю iOS одной из самых безопасных. 

Microsoft выпускает патчи относительно быстро, а обновлять вообще отказывается. Я уже писал, что у меня HTC Surround и HTC явно забила на это устройство, поэтому не толкает обновления на телефон. Я не получил обновление безопасности, которое вышло еще полтора года назад и телефон до сих пор не видит оболочку 7.8. И я считаю, что это проблема Microsoft, а не HTC. Это неправильная политика, а не производство. 

Меня сегодня новый программист индус немного испугал. Нужно было перенести код экранирования специальных симполов с одного модуля в другой и программист там посмотрел на меня, когда я сказал убедиться, что он экранирует все данные из базы перед выводом, потому что эти данные сохраняются после пользовательского ввода. Он не знал, что такое XSS. Как страшно жить теперь. 

На некоторых сайтах есть фишка, что после входа на сайт нужно вводить дополнительные какие-то уникальные коды или отвечать на вопрос безопасности. Если у вас у банковской странички есть такое, то вы работаете с хорошим банком. Если нет, то валите от него, он относится к безопасности не очень серьезно. 

Компания, где я работаю, предоставляет разные услуги разным клиентам. Кто платит, тем и выполняем работы. Сейчас расследуем взлом аккаунтов крупного интернет магазина в США. Об этом в СМИ пока вроде не писали, но могут. 

Согласно логам сразу вычислили, что взломали аккаунты не через баг в сайте, а простым перебором. Просто в первый день взлома произошел всплеск попыток входа на сайт с использованием имени пользователя, который просто не существует в базе. Сайт сканировали по какой-то базе имен/паролей. Меня подключили к этому делу когда уже была середина скана и создано несколько счетов и я успел добавить на сайт дополнительных фишек для сбора аналитики. Хакер прогнал сайт через базу данных из более миллиона имен и паролей с другого сайта и у него явно удалось войти в тысячи аккаунтов. Точно сказать сложно, потому что взламывали с разных IP. 

Интересная новость появилась сегодня о том, что теперь на Андроид смартфонах партнеров Qualcomm могут предустанавливатся антивирусные решения от Лаборатории Касперского. Для Российской компании – это большая победа. 

Но вот для Google и для платформы Андроид – это большой проигрыш. Мне кажется, это практически официальное падение платформы перед лицом врага и как бы подтверждение того, что платформа не безопасна. 

Компания Apple постоянно твердит, что их платформа безопасна и вирусов для нее нет. Лично я вирусов и не боюсь под iOS, меня больше пугают сетевые атаки на приложения с ошибками. На все попытки наехать на Apple, компания отвечала достаточно жестко и требовала не запугивать пользователей всякой фигней. 

Канадцам повезло, они смогут получить халявные игры от Sony в сети PSN Network. Я не знаю, будет ли подобное в других странах, но в Канаде пользователи сети вроде бы как получили письма, в которых описывается какое возмещение пользователи могут получить из-за того, что PSN сеть была не доступна во время великого взлома Sony в 2011-м году. 

Так, согласно письму от Sony, у кого были аккаунты PSN с активным действием 20-го апреля по 14 мая 2011-го года, могут получить на халяву три игры. Там же в письме есть куча другой халявы. 

То, что Sony так относительно щедро возмещает пользователям убытки, это хорошо. Но вот то, что они делают это так поздно, это очень даже плохо. Надо было как-то раньше возместить. За окном уже 2013-й год и у некоторых пользователей приставка могла уже сломаться и новую не покупают в ожидании PlayStation 4 и они не смогут получить халявы. 

Сегодня прямо наполнился уважухой к своему хостеру. Он прислал сообщение, что на пользователей WordPress хакеры устраивают атаку перебором пароля и это не только в отношении клиентов моего хостера а всех пользователей вообще. Так вот хостер просто заблокировал доступ к скрипту входа в WordPress сайты и подбор паролей стал невозможным.

Правда и легальные пользователи тоже не могли зайти к себе в админку, но теперь хостер вроде бы нашел решение заблокировать попытки подборка пароля и легальные пользователи снова могут работать со своими сайтами. Уважуха. Я такого у своего предыдущего хостера не встречал.  

Когда шли атаки на phpBB или другие популярные движки, то российский хостер, услугами которого я пользовался раньше даже ухом не шевелил. Может и шевелил как-то, но я не ощущал. Спасение утопающих под натиском хакеров - дело рук самих утопающих. Мой нынешний хостер заботиться о клиентах, и не смотря на то, что я не пользуюсь WordPress и мне должно быть пофиг, но мне нет.

Мне иногда приходят письма от журналистов, которые хотят знать моего мнения на какой-то вопрос. Вот пришел интересный вопрос, который может быть интересен и вам:

Здравствуйте, Михаил. Я представляю журнал “Русский Репортер” и сейчас мы готовим статью о проверке ФАСом почтовой службы gmail. Мне нужен комментарий программиста по технической стороне вопроса, то есть как вообще читаются письма интернет службами? Многие ли интернет компании нарушают конфиденциальность пользователей, конкретно в этом случае, можно говорить о конкурентах gmaila. Если Вы найдете время для короткого разговора или напишите пару слов о правомерности/неправомерности претензий к компании Google, я буду очень Вам благодар!