Блог

Никогда не доверял свои пароли браузерам. Не знаю почему, но не доверяю я им. Я понимаю, что браузер защищает мои пароли и шифрует их. Но если найдется одна критическая дырочка в браузере, и все мои важнейшие данные могут обежать в сеть. В принципе, я по порносайтам и варез сайтам не хожу и вирусов не должно быть, но все же, береженого не только бон бережет.

Но вот с тех пор, как пересел на MacBook, так почему-то начал сохранять в браузере пароли. Может быть расслабленность какая-то и надежда на то, что вирусы и трояны в ближайшее время продолжат любить ОС Windows, а Apple останется чистеньким.

А ты доверяешь хранение паролей браузеру?

Странно читать новость о том, что сайты напрямую относящиеся к Linux взломаны. Эта ОС всегда была пушистой в глазах хакеров, поэтому ее никогда не трогали. А тут за короткий период поимели сразу несколько основных сайтов. Очень странненько.

Был когда-то такой хороший журнал Компьютерра, который я когда-то читал и старался не пропускать ни одного номера. Это было еще при первом его редакторе. Но уже наверно более 10 лет назад главный редактор сменился и журнал стал превращаться в полный отстой. Постоянные рубрики испахабились, а тема номера очень сильно зависела от выпускающего редактора. Я рублем за фуфло голосовать не собираюсь, поэтому просто перестал читать этот журнал.

Сегодня просто решил заглянуть на их сайт и посмотреть, живы ли они вообще или уже давно ушли на дно. Чтобы не пытаться догадываться, как может называться url сайта, я зашел на яндекс и набрал компьютерру в поисковой строке. Оказывается сайт еще жив и судя по всему выполнен профессионально. Но прежде чем попасть на сайт, я обратил внимание в яндексе на то, что он не совсем полюбил сайт. Под ссылкой написано, что сайт может угрожать безопасности моего компьютера.

Ребенок хочет играть в полную версию игры Need For Speed на Windows Phone, но мне не кайф платить с кредитной карты. Я в основном плачу с PayPal за подобные вещи. С недавних пор Microsoft внедрила прием PayPal почти везде, в том числе и XBox, а вот с телефона пока нет.

Сегодня лазил в интернете, в поисках способа оплатить с PayPal и зашел на сайт Microsoftstore.ca. И о чудо, внизу окна появилась надпись: Internet Explorer has modified the page to help prevent cross site scripting. Ну не чудесно? Ну да, уязвимость возможно и не критичная, но для такой компании немного позорно оставлять собственный сайт в таком некрасивом положении. У Microsoft и там репутация не из лучших, а тут еще и их собственный браузер сообщает, что сайт может содержать ошибку.

Лично я не испугаюсь CSS, но домохозяйки запросто могут свалить с сайта, тем более, это же электронный магазин и покупать что-то на сайте, у которого есть проблемы с безопасностью немного очкливо.

Прошел всего один день с того момента, как я послал огнелиса и не стал обновлять его до пятой версии. И вот сегодня запускаю FireFox, как в правом нижнем углу появляется окошко Microsoft Essential Security, который сообщает, что у меня в мозиловском кеше сидит троян. Ну спасибо тебе мой дорогой и в то же время бесплатный супербезопасный браузер с открытым исходным кодом, я просто счастлив. Какого черта браузер сохранил в кеше трояна?

Запустил обновление браузера. На этот раз он сообщил, что только один плагин не будет работать. Да ну и фиг с ним. Сидеть в не обновляемом браузере опаснее.

Ко мне часто обращаются с просьбой посмотреть или протестировать сайт на безопасность. Я бы не против помочь с этим, но просто не в состоянии. Запросы такие идут с завидной постоянностью, но если я буду пытаться нормально тестировать хотя бы половину сайтов, я буду только это и делать. Блин, если бы за книги хорошо платили (а для этого нужно чтобы их хорошо покупали), то я наверно и сделал бы основной работой тестирование сайтов, а потом просто описывал это.

За часок проанализировать сайт основательно просто нереально. Проще взять специализированную программу, которая тестирует на безопасность, и прогнать сайт с ее помощью. Я сам так часто делаю :), да и многие так делают.

Новая старая статья про PHP и безопасность (вполне актуальная сейчас тема): Безопасность в PHP - системные команды. Я написал ее уже очень давно и сейчас выложил без редактирования, просто выкинул на суд читателей.

Занастольгировал по русским буквам и скачал журнальчик Хакер и там прочитал, что на конференции Chaos Construction на одну из стен выводятся данные о перехваченных HTTP сессиях и это вроде бы как своеобразная стена позора. Если кто-то зашел на сайт по незащищенному каналу, то его сессия легко перехватывается и это вроде бы как позор. Интересно, для кого позор – для пользователя, или для владельцев сайтов?

Лично у меня на сервере перехват сесии возможен, потому что у нас только определенные части сайта идут по https протоколу. Там, где шифрование на фиг не нужно, его просто нет и пользователя даже выкидывает с https на нормальный http протокол. А не фиг загружать сервера своими тупыми шифрованиями там, где это не нужно. Безопасность хороша до тех пор, пока она не становится параноидальной. Так делают нормальные сайты, которые я знаю – например, ebay, amazon. Это то, что приходит мне на макушку мозга. Я как-то не вникал, но надеюсь, что большинство поступает так же.

На сайте моего клиента перехват HTTP сессии возможен. Ты можешь захватить сессию и даже по наслаждаться, что у тебя в куках стоит чужая сессия. Ты можешь погулять по сайту таким образом по открытым областям. Но стоит только зайти в защищенную область сайта, которая содержит важные для пользователя данных, как твой Http Session Hijacking итдет лесом и хакер нежно и ласково возвращается в свою родную сессию лоха позорного.

Удивлеен, что IRC серверами до сих пор еще ползуются. Я думал, что весь современный народ уже давно перешел на любые другие техонлогии. В свое время IRC действительно были очень популярны и я сам отвисал на них, когда я сидел еще в Windows 95 и 98, но с тех пор уже столько лет утекло.

Официальная информация по поводу взлома выглядит так:

Спешим сообщить, что сегодня сеть наших серверов была взломана бывшим оператором IRC, нашим сотрудником по имени "Райан". Он решил, что будет против неорганизованной структуры AnonOps Network и организовал переворот со своими "друзьями" на skidsr.us. Используя сетевой бот "Zalgo" он собрал IP и пароли всех серверов сети (включая хаб) и систематически применял DOS атаки (вот почему сеть была неустойчива последнюю неделю). К сожалению, он контролирует доменное имя AnonOps.ru (и возможно AnonOps.net, мы точно не уверены), поэтому мы не можем продолжать их использовать.

ФСБ хочет запретить Skype, потому что его трафик невозможно прослушать и это угрожает безопасности великой и необъятной России. Уважаемые сотрудники ФСБ: Запрещать Skype бесполезно, потому что есть такая весчь как VPN. Через него любой трафик будет зашифрован и его прослушать неудастся. Так что если запрещать, то любое шифрование вообще. Ну а VPN запрещать нереально. На его безопасности держится очень многое, в том числе и банки (по крайней мере я надеюсь на то, что его используют).

В цифровом мире у людей, которым необходимо передать конфиденциальную информацию, слишком много инструментов обойти прослушивание и запретом Skype тут не обойтись. Самый проверенный метод прослушать то, что вы хотите - это прийти к подозреваемому и паяльником в морду, и добро пожаловать КГБ-шные методы 50-х годов в современный мир.