Забудьте про «у меня»! У меня вообще на всех сервисах разные пароли.
Все поддается взлому, но чем дольше времени на это необходимо, тем лучше.
При получении некорректного запроса (а ля SQL-инъекции) можно админу отправить мыло, мол хакнуть пытаются. При частых попытках подобрать пароль брутфорсом — блокировать учетку. И администратор системы должен будет принять меры: попросить пользователя сменить пароль, и т.п.
Здесь рассматривается проблема rainbow таблиц.
ЗЫ: вопрос реализации защиты от взлома тоже выходит за рамки этой темы. И писать, что админ захлебнется в потоке писем, типа «вас пытались взломать» не нужно. нужно просто продумать систему защиты.
уффф… вы не поняли о чем я. Разберем на примере:
Допустим, на форуме группы «Блестящие» есть пользователь user с паролем qwertyuiop123.
Представим, что пароли там лежат в открытом виде (или чистый md5/sha/ит.п.).
Там нет секретной информации.
Мы знаем, что этот пользователь является администратором the Bank of America.
Получаем доступ к базе данных, смотрим пароль, идем на сайт банка, о чудо(!) он использует один пароль в системе tBoA и на форуме «Блестящих».
Вот так мы получили root access к зарубежному банку.
кто виноват?
пользователь? почему? он думал, что ваш проект не взломают, т.к. в новой песне «Блестящие» пели о их новом мега-защищенном форуме.
разработчик сайта блестящих? почему? он думал, что пользователи форума не будут использовать пароли от серьезных систем.
может виноваты оба? и пользователь, с одним паролем везде; и разработчик, халатно отнесшийся к вопросу защиты информации.
Если то, если это…
Пароль — средство идентификации пользователя. Буть то домашняя страничка Васи Пупкина с форумом, или серьезная банковская система.
Пользователь — человек. Он может использовать один и тот же пароль на разных сайтах. Правильно это или нет — судить не нам. Коли мы заставляем пользователя регистрироваться в системе (по каким-либо причинам), то мы должны обеспечить сохранность и неразглашение его личной информации, даже если в базе кроме пароля уводить-то нечего, есть наша обязанность. Т.к. используя этот пароль злоумышленник может украть у человека учетные записи на других сервисах.
Это не ошибка…
Если проект безопасный, то и шифровать ничего не надо, т.к. без права доступа ни кто информацию не посмотрит.
Как говорится доверяй, но проверяй.
Не всегда есть возможность выделить отдельный сервер. Да и не всегда это нужно. Если ваш проект не мега-серьезный, но и на пароли пользователей можно наплевать?
«Пишите безопасные проекти и шифрование данных вам не понадобится»
Есть еще человеческий фактор, или вы на 200% процентов уверены, что ни вы, ни ваши коллеги ни где ничего не пропустили? А в других проектах, которые лежат на одном сервере с вашим?
Это вопрос к автору статьи (К. Касперски).
Просто лишний шаг… на случай «а если злоумышленник узнает..».
Я в качестве соли использую информацию из базы. Уникальную для каждого пользователя + вставляю не перед первым символом, а между некоторыми.
Т.о. даже украв таблицу с паролями и правилами замены, вору потребуется лишнее время на дешифровку, за которое я успею отреагировать на кражу и принять соответствующие меры (сменить пароль, закрыть дыру)
В журнале «Хакер» была статья на эту тему.
Предложенный там алгоритм: md5($salt.md5(pass)), потом замена символов по таблице, известной только автору. Внешне хеш ни чем не отличается от обычного md5, а подобрать его практически невозможно (при условии, что злоумышленник не получит таблицу)
Они обычно различаются не только ценой, но и фичами. И никто не может вам запретить использовать Windows Starter Edition для того, чтобы вести бизнес (если вы её легально купили в магазине).
Обычно, не обычно — отговорки. Есть софт, различные редакции которого не отличаются (бизнес от персональной) ни чем, кроме того, что на них нельзя зарабатывать. Грубо говоря за какую-нибудь IDE заплатил только 10% от стоймости, но не можешь создавать в ней коммерческие продукты.
зы: В лицензии на стартер нет ограничений на использование. Там урезан функционал.
Зачем же с ними судиться? Достаточно открыть контору по перепродаже. Или можно продавать средства, позволяющие запускать импортные «игрушки». Это вполне легальная деятельность.
Разве лицензия позволяет перепродавать MacOS?
Если какая-то фирма сдруру выдаёт вам диски с копиями, предназначенными для студентов не прося подписать ничего — она сама виновата, вы можете этот диск тут же «толкнуть налево» за углом.
Если человек забыл закрыть дверь в квартиру, то он сам виноват, что его обворовали. Нельзя винить воров.
Имеете полное право хакнуть его чтобы он заткнулся. Вот обновлений вам баз к нему вам легально не получить — но это другая история.
Что??? «Хакнув» его вы нарушаете
а) лицензионное соглашение, под которым подписались (поставив галочку «я согласен»)
б) законы об авторских и смежных правах
Отдела «К» на вас нет.
Да-да. Имеем. Можем. Потому разработчики не очень-то и подают в суд на людей, которые что-то сделали «не так» с софтом. А когда подают — нередко получают отлуп.
Так же думают гопники. Т.к. не все идут в милицию, да и тем кто придет врятли помогут, т.к. их сначала найти надо, а еще и доказать…
Закон это требует только в России с начала этого года.
Закон это требует во всех цивилизованных странах.
И это является маразмом. Почему при покупке пылесоса я не должен изучать лицензионное соглашение, при покупке фильма или книжки — тоже, а для программ — вот такое вот идиотское исключение? Чем они лучше?
Как? А условия и срок гарантийного обслуживания (правила эксплуатации и т.п.)? Закон о защите прав потребителей? и т.д. и т.п.В случае с пылесосом это и является неким подобием соглашения.
Или вы сначала уберете пылесосом полный рыб аквариум и только потом прочитаете, что этого делать нельзя (или узнаете это из уст сотрудника тех. отдела)?
Не хочу ни кого оскорблять, но позицию «могу делать что хочу, т.к. на меня все-равно в суд ни кто не подаст, т.к. никому это не надо» считаю, мягко говоря, не верной. это ИМХО.
зы: посмотрю на Вас, когда Ваши изобретения/разработки будут хакать и перепродавать.
>А что — у них есть выбор?
Да, выбор у них есть. Только они могут решать на каких условиях им продавать свой продукт. Это как продажа чего-либо на какой-нибудь территории. Будем судиться со всеми компаниями, которые продают свою продукцию только на определённой территории, т.к. они заставляют нас переехать в страну, где продажа разрешена. (в случае с ОС — купить Mac, на который можно легально установить эту ОСь) А можно купить что-то нелегально (контрафакт) и пользоваться им (поставить МасОС на РС).
>Нет, нет, 100 раз нет. Они вправе решать — где и как им продавать MacOS.
>Но как только они её продали и исчерпали право первой ночи^H^H^H^H
>продажи — они потеряли контроль над конкретно этим экземпляром MacOS.
Разве?
А как же MS Office 4 для студентов? после активации в заголовке окна Word выдал «только для некоммерческого использования».
Как Borland Delphi для образовательных учреждений?
Как прочий софт, где есть Бизнес и версии для личного (некоммерческого) использования?
Антивирус Касперского, требующий купить новый ключ по истечении срока лицензии?
Мы ведь купили эти программы и можем делать с ними, что хотим, т.к. разработчики «потеряли контроль над конкретно этим экземпляром» программы.
Выше уже писали, что это мы привыкли покупать диски с софтом, а лицензионное соглашение читать только во время установки (разработчикам повезло, если хоть тогда прочитали). Перед покупкой любой программы изучи лицензионное соглашение. Можешь ли ты его использовать и в каких целях. А если твои намерения идут в разрез с лицензией, то не покупай эту программу.
> Ну до Dell'а пока народ не добрался, но Autodesk уже пострадал.
а причем тут Dell? Я про ASUS говорил.
Давайте вспомним времена, когда не было Intel Mac'ов. а был, например, PowerG5. Разве тогда возникали вопросы и претензии по поводу невозможности установить MacOS на Pentium based PC?
Тот факт, что в отличии от PowerMac внутри MacPro стоит процессор от Intel заставляет Apple включить поддержку этой архитектуры в MacOS, но не заставляет их свободно продавать MacOS.
Apple разрабатывали свою операционную систему для _своих_ PC, тестировали со своими PC, гарантировать работу могут только со своими PC. Компания не может гарантировать работу ОС на других компьютерах. Зачем им портить имидж и выпускать в «открытое плавание» продукт, который, возможно, не будет работать на ПК, произведенных другими фирмами?
Если вы купите MacOS и она не будет работать на вашем ПК из-за несовместимости с оборудованием, кому вы предъявите претензии в первую очередь? Конечно проклятой Apple, которые продали вам ОСь, не работающую на вашем железе, хотя и продающуюся не зависимо от платформы. Большинство людей не знают чем отличаются процессоры AMD от Intel, видео-карты nVidia от ATI AMD и т.п… они покупают «компьютер».
Простите, но из-за того, что появилась возможность поставить MacOS на что-то отличное от Mac'ов не меняет ни сути лицензионного соглашения, ни политики компании, ничего. Это просто переход Apple на более удобную плаформу.
Можно купить MacOS отдельно, но нельзя купить iMac без MacOS.
Сравнивать Apple и Dell глупо. Что сделали дел, что позволяет их сравнивать с яблоком?? Apple разработали Macintosh и создали для него MacOS.
Macintosh это конечный продукт. Mac без MacOS — не мак. MacOS без Mac — не MACos. MacOS это своего рода прошивка для Mac'а. Просто обновления для неё встают компании в копеечку и размер апдейтов не позволяет распространять их только по сети. Поэтому новые версии MacOS в магазинах.
В добавок чистую MacOS установить на PC невозможно. Споры об этичности поступков Apple не корректны.
Да, нам бы было хорошо, если бы Apple распространяли макось свободно, но можем ли мы требовать это от них?
Ответ только один: нет.
Это их детище, они делают с ним что хотят. Захотят вообще прекратят продажу MacOS.
Монополисты они? Нет. у нас есть выбор: взять PC от Apple или PC от других производителей.
Сам я не маковод, но планирую купить iMac ибо это продукт, который стоит своих денег. Железо отдельно таких денег не стоит, ОС — тоже, а вот комплекс Железо+ПО — да.
ps: с ноутбуками Asus в коплекте идет RecoveryDVD с вистой и прочим софтом, предустановленным на заводе. Во время установки мастер предупреждает, что использование этого DVD разрешается только с ноутбуками Asus и работа на других устройствах не гарантируется. Давайте накинемся и на них тоже.
Напомнить, что вышла новая версия браузера - хорошая идея (если не будут кричать о каждом новом билде), а вот сменить его... смени дизайнера/верстальщика (уже писал выше)
И это не правильно. Мелкомягкие вообще много плохого сделали....
Но нужно отдать должное их отделу маркетинга и рекламщикам.
Так пропиарить ТАКОЙ софт... как говорят интеллигенты "респект и уважуха" ))
Все поддается взлому, но чем дольше времени на это необходимо, тем лучше.
При получении некорректного запроса (а ля SQL-инъекции) можно админу отправить мыло, мол хакнуть пытаются. При частых попытках подобрать пароль брутфорсом — блокировать учетку. И администратор системы должен будет принять меры: попросить пользователя сменить пароль, и т.п.
Здесь рассматривается проблема rainbow таблиц.
ЗЫ: вопрос реализации защиты от взлома тоже выходит за рамки этой темы. И писать, что админ захлебнется в потоке писем, типа «вас пытались взломать» не нужно. нужно просто продумать систему защиты.
может перестанем кормить друг-друга ссылками на собственные комментарии на этой же странице?
Допустим, на форуме группы «Блестящие» есть пользователь user с паролем qwertyuiop123.
Представим, что пароли там лежат в открытом виде (или чистый md5/sha/ит.п.).
Там нет секретной информации.
Мы знаем, что этот пользователь является администратором the Bank of America.
Получаем доступ к базе данных, смотрим пароль, идем на сайт банка, о чудо(!) он использует один пароль в системе tBoA и на форуме «Блестящих».
Вот так мы получили root access к зарубежному банку.
кто виноват?
пользователь? почему? он думал, что ваш проект не взломают, т.к. в новой песне «Блестящие» пели о их новом мега-защищенном форуме.
разработчик сайта блестящих? почему? он думал, что пользователи форума не будут использовать пароли от серьезных систем.
может виноваты оба? и пользователь, с одним паролем везде; и разработчик, халатно отнесшийся к вопросу защиты информации.
Пароль — средство идентификации пользователя. Буть то домашняя страничка Васи Пупкина с форумом, или серьезная банковская система.
Пользователь — человек. Он может использовать один и тот же пароль на разных сайтах. Правильно это или нет — судить не нам. Коли мы заставляем пользователя регистрироваться в системе (по каким-либо причинам), то мы должны обеспечить сохранность и неразглашение его личной информации, даже если в базе кроме пароля уводить-то нечего, есть наша обязанность. Т.к. используя этот пароль злоумышленник может украть у человека учетные записи на других сервисах.
*_то_ и на пароли пользователей…
Если проект безопасный, то и шифровать ничего не надо, т.к. без права доступа ни кто информацию не посмотрит.
Как говорится доверяй, но проверяй.
Не всегда есть возможность выделить отдельный сервер. Да и не всегда это нужно. Если ваш проект не мега-серьезный, но и на пароли пользователей можно наплевать?
Есть еще человеческий фактор, или вы на 200% процентов уверены, что ни вы, ни ваши коллеги ни где ничего не пропустили? А в других проектах, которые лежат на одном сервере с вашим?
Просто лишний шаг… на случай «а если злоумышленник узнает..».
Я в качестве соли использую информацию из базы. Уникальную для каждого пользователя + вставляю не перед первым символом, а между некоторыми.
Т.о. даже украв таблицу с паролями и правилами замены, вору потребуется лишнее время на дешифровку, за которое я успею отреагировать на кражу и принять соответствующие меры (сменить пароль, закрыть дыру)
Предложенный там алгоритм: md5($salt.md5(pass)), потом замена символов по таблице, известной только автору. Внешне хеш ни чем не отличается от обычного md5, а подобрать его практически невозможно (при условии, что злоумышленник не получит таблицу)
Обычно, не обычно — отговорки. Есть софт, различные редакции которого не отличаются (бизнес от персональной) ни чем, кроме того, что на них нельзя зарабатывать. Грубо говоря за какую-нибудь IDE заплатил только 10% от стоймости, но не можешь создавать в ней коммерческие продукты.
зы: В лицензии на стартер нет ограничений на использование. Там урезан функционал.
Разве лицензия позволяет перепродавать MacOS?
Если человек забыл закрыть дверь в квартиру, то он сам виноват, что его обворовали. Нельзя винить воров.
Что??? «Хакнув» его вы нарушаете
а) лицензионное соглашение, под которым подписались (поставив галочку «я согласен»)
б) законы об авторских и смежных правах
Отдела «К» на вас нет.
Так же думают гопники. Т.к. не все идут в милицию, да и тем кто придет врятли помогут, т.к. их сначала найти надо, а еще и доказать…
Закон это требует во всех цивилизованных странах.
Как? А условия и срок гарантийного обслуживания (правила эксплуатации и т.п.)? Закон о защите прав потребителей? и т.д. и т.п.В случае с пылесосом это и является неким подобием соглашения.
Или вы сначала уберете пылесосом полный рыб аквариум и только потом прочитаете, что этого делать нельзя (или узнаете это из уст сотрудника тех. отдела)?
Не хочу ни кого оскорблять, но позицию «могу делать что хочу, т.к. на меня все-равно в суд ни кто не подаст, т.к. никому это не надо» считаю, мягко говоря, не верной. это ИМХО.
зы: посмотрю на Вас, когда Ваши изобретения/разработки будут хакать и перепродавать.
Да, выбор у них есть. Только они могут решать на каких условиях им продавать свой продукт. Это как продажа чего-либо на какой-нибудь территории. Будем судиться со всеми компаниями, которые продают свою продукцию только на определённой территории, т.к. они заставляют нас переехать в страну, где продажа разрешена. (в случае с ОС — купить Mac, на который можно легально установить эту ОСь) А можно купить что-то нелегально (контрафакт) и пользоваться им (поставить МасОС на РС).
>Нет, нет, 100 раз нет. Они вправе решать — где и как им продавать MacOS.
>Но как только они её продали и исчерпали право первой ночи^H^H^H^H
>продажи — они потеряли контроль над конкретно этим экземпляром MacOS.
Разве?
А как же MS Office 4 для студентов? после активации в заголовке окна Word выдал «только для некоммерческого использования».
Как Borland Delphi для образовательных учреждений?
Как прочий софт, где есть Бизнес и версии для личного (некоммерческого) использования?
Антивирус Касперского, требующий купить новый ключ по истечении срока лицензии?
Мы ведь купили эти программы и можем делать с ними, что хотим, т.к. разработчики «потеряли контроль над конкретно этим экземпляром» программы.
Выше уже писали, что это мы привыкли покупать диски с софтом, а лицензионное соглашение читать только во время установки (разработчикам повезло, если хоть тогда прочитали). Перед покупкой любой программы изучи лицензионное соглашение. Можешь ли ты его использовать и в каких целях. А если твои намерения идут в разрез с лицензией, то не покупай эту программу.
> Ну до Dell'а пока народ не добрался, но Autodesk уже пострадал.
а причем тут Dell? Я про ASUS говорил.
Тот факт, что в отличии от PowerMac внутри MacPro стоит процессор от Intel заставляет Apple включить поддержку этой архитектуры в MacOS, но не заставляет их свободно продавать MacOS.
Apple разрабатывали свою операционную систему для _своих_ PC, тестировали со своими PC, гарантировать работу могут только со своими PC. Компания не может гарантировать работу ОС на других компьютерах. Зачем им портить имидж и выпускать в «открытое плавание» продукт, который, возможно, не будет работать на ПК, произведенных другими фирмами?
Если вы купите MacOS и она не будет работать на вашем ПК из-за несовместимости с оборудованием, кому вы предъявите претензии в первую очередь? Конечно проклятой Apple, которые продали вам ОСь, не работающую на вашем железе, хотя и продающуюся не зависимо от платформы. Большинство людей не знают чем отличаются процессоры AMD от Intel, видео-карты nVidia от ATI AMD и т.п… они покупают «компьютер».
Простите, но из-за того, что появилась возможность поставить MacOS на что-то отличное от Mac'ов не меняет ни сути лицензионного соглашения, ни политики компании, ничего. Это просто переход Apple на более удобную плаформу.
Можно купить MacOS отдельно, но нельзя купить iMac без MacOS.
Сравнивать Apple и Dell глупо. Что сделали дел, что позволяет их сравнивать с яблоком?? Apple разработали Macintosh и создали для него MacOS.
Macintosh это конечный продукт. Mac без MacOS — не мак. MacOS без Mac — не MACos. MacOS это своего рода прошивка для Mac'а. Просто обновления для неё встают компании в копеечку и размер апдейтов не позволяет распространять их только по сети. Поэтому новые версии MacOS в магазинах.
В добавок чистую MacOS установить на PC невозможно. Споры об этичности поступков Apple не корректны.
Да, нам бы было хорошо, если бы Apple распространяли макось свободно, но можем ли мы требовать это от них?
Ответ только один: нет.
Это их детище, они делают с ним что хотят. Захотят вообще прекратят продажу MacOS.
Монополисты они? Нет. у нас есть выбор: взять PC от Apple или PC от других производителей.
Сам я не маковод, но планирую купить iMac ибо это продукт, который стоит своих денег. Железо отдельно таких денег не стоит, ОС — тоже, а вот комплекс Железо+ПО — да.
ps: с ноутбуками Asus в коплекте идет RecoveryDVD с вистой и прочим софтом, предустановленным на заводе. Во время установки мастер предупреждает, что использование этого DVD разрешается только с ноутбуками Asus и работа на других устройствах не гарантируется. Давайте накинемся и на них тоже.
Но нужно отдать должное их отделу маркетинга и рекламщикам.
Так пропиарить ТАКОЙ софт... как говорят интеллигенты "респект и уважуха" ))