Похоже, эта неделя пройдет под лозунгом «сделай авторизацию безопаснее». Уже было предложено много идей, но большинство из них в итоге оказалось неудачными. По тем или иным причинам я сейчас так же задумываюсь, как повысить безопасность авторизации на сайте. Тут — мои идеи, выкладки. Ничего более. Я замечательно понимаю, что для того, чтобы добиться хороших результатов, нужно проработать в этой области большой срок, заниматься криптографией и прочим. Тут же я хочу поделиться своими наработками, услышать их, надеюсь, конструктивную критику, возможно поддержку некоторых идей.

Постановка задачи:

Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.

Группа Anonymous продолжает работать над тем, чтобы обидчики проекта Megaupload и его администрации были наказаны. Хотя бы виртуально, поскольку именно в виртуальности — сила этой группы. Так, в пятницу началась атака на сайт президента Франции Николя Саркози. Обычно атака проводилась при помощи банального DDoS, но на этот раз применили еще и взлом, с размещением на главной странице сайта слогана Anonymous «We Are Legion». Это случилось в пятницу, а в субботу слоган уже исчез с главной страницы сайта. Но сайт находился под DDoS атакой, что привело к его временной недоступности или просто очень медленной работе.

Поначалу думал опубликовать это в ХабраЮморе. Но потом решил, что было бы смешно, если не было так печально.

С некоторых пор при заходе Вконтакт не из своего обычного места (предположительно из разных географических точек, т.к. при заходе из одного города такого сообщения нету) высвечивается вот такая страничка:



Казалось: что ж тут странного? Система безопасности работает как часы. А забавное здесь то, что предшествовало такой страничке попытка логина, в качестве которого указан свой телефон:



Т.е. и так ясно, что я знаю последние 4 цифры своего телефона, если я его указывал в качестве логина

Понимаю ещё, если бы была попытка авторизации через куки или через указание email как логина. Но в данной ситуации — просто полнейший абсурд!

P.S.

ВКонтакте всегда заботится о Вашей безопасности!

— © Vkontakte.ru

Сегодня прочитал две статьи про «Динамические пароли» (раз, два) и сразу вспомнил про свою старую идею. Попробую её описать, может быть, кому-то пригодится.

Идея в следующем

Пользователь имеет пароль от своей машины (сервиса, аккаунта): 9sDfyuT7uj.
Пользователь получает пароль на бумажке и несколько раз вводит его в поле для «тренировки». После этого пароль становится «его паролем».

Что это?

Строго говоря base64_decode — это не вредоносный код, а информация в закодированном виде. Часто используется в шаблонах сайта, для вставки копирайта. Но есть категория людей, которые пользуют данный метод для маскировки своих вирусов. В моем случае был закодирован php код (сори за тавтологию), который говорил:

если (человек из Яндекса или Гугля или Йаху)
{Отправить на сайт бяка-сайт.ру}

Будьте осторожны! При попытке просмотра френдленты вместо оной показывается окно с требованием ввода пароля.



Очень похоже на очередной фишинг, потому что нигде в другом месте пароль заново вводить не требовалось.

Обновление: это действительно фишинг, см. www.livejournal.com/support/?uselang=ru

В преддверии выборов и в день голосования появились сообщения об атаках на сайты СМИ и политических партий. Речь идет о «DDoS-атаках», целью которых является нарушение функционирования сайтов через генерацию большого числа паразитных подключений и, как следствие, исчерпание ресурсов оборудования и каналов связи.

Мой проект — интернет-СМИ, становился объектом подобных атак неоднократно. Последний раз сервер был атакован за две недели до выборов. И хотя в день голосования нас не тронули, актуальность темы сомнению не подлежит: кибервойны превратились в инструмент политической борьбы, говорится в посвященном хакерским атакам накануне выборов докладе Межрегиональной ассоциации правозащитных организаций АГОРА.

По данным ассоциации, в день выборов в Государственную Думу нападению подверглись 25 интернет-ресурсов, включая крупнейший в России сервис блогов Живой Журнал и сразу несколько сайтов независимых СМИ — Коммерсанта, Большого города, радиостанции Эхо Москвы, The New Times и Slon.ru. К вечеру воскресенья большинство сайтов возобновили работу, однако сайт Коммерсанта оставался недоступен. Ранее DDoS-атакам подвергались сайты Новой газеты, Ведомостей и ФИНАМ FM.

В этой связи возникает несколько вопросов: кто? зачем? как бороться?

На вопросы об исполнителях и заказчиках должны отвечать правоохранительные органы. Цели и задачи таких атак, кажется, лежат на поверхности. Поэтому сейчас мы остановимся на теме противодействия. В этом нам поможет давший мне интервью Константин Ефимович Тимашков — руководитель компании, специализирующейся на защите от DDoS-атак, абонентская служба которой расположена в Брянске.

Понадобилось мне узнать стандартную пару логин-пароль для престарелого роутера производства LevelOne. Поиск забросил меня в F.A.Q. сайта Level One Russia.
В вопросе № 29 можно наблюдать примерно следующее:

Мы – сторонники прогресса! Но дивный новый цифровой мир оказался вблизи не так красив, как казалось издалека, из середины девяностых…

1. Где хранить? В банке. Стеклянной

Работая в общественной некоммерческой организации, столкнулся с необходимостью хранения множества уникальных видео- аудио-материалов. Прежде всего в них представлены наработки энтузиастов по амурскому тигру, и прочим исчезающим видам, а также своеобразная энциклопедия по данной тематике. Ключевые слова – «уникальные» и «некоммерческая» Т.е. бюджет решения должен быть насколько возможно скромнее, а надежность – высокой. Для этого все материалы были поделены по степени ценности — супер важные, просто важные, и так далее. Казалось бы – оцифровываем видеокассеты и фотографии, прикидываем стоимость решения, и потихоньку создаем архивы. Не тут то было!

Дополнительных слов или комментариев не нужно.

bigmir)net