@highw read-only
Пользователь
8 мая 2009 в 02:37

Разработка → ВНИМАНИЕ! QIP.RU ВЗЛОМАН!

UPD2: Товарищи, зачем вы какаете в карму… Что в этот раз вам не понравилось?? капец…
UPD: Выложенные пароли от админки уже заменены, чтобы не превращать главную в чат:)

НЕ КАЧАЙТЕ ОТТУДА НИЧЕГО ДО ОФИЦИАЛЬНОГО СООБЩЕНИЯ АДМИНОВ!

Пруф-линк — qip.ru

Скрины 'as is':



@highw
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (453)

  • +11
    и не спится же кому-то :)
    • 0
      Радует то, что пользователи, которые ночью спали, а утром не читали хабр – останутся в блаженном неведении о ночном чате :)
      • 0
        А что там был за ночной чат?
    • –13
      И кому это надо? Вспоминаются недавние козьни AOLa. Хотя, конечно, это слишком низко было бы для них.

      Но вообще свинство.

      P.S. Сейчас посмотрел сайт, вроде все спокойно?
  • +44
    Да уж, этот факт должен серьезно подорвать репутацию qip'a
    • +29
      Тут целый день репутацию квипа методично в грязь втаптывают
      • +123
        По-моему тут целый день всего лишь констатируют, что квип методично втаптывает в грязь собственную репутацию.
        • +10
          Вообще он начал это делать уже несколько лет назад, и всё также преуспевает.
          • 0
            Не вижу противоречия с тем, что я написал ;)
      • +12
        и ночью тоже, и ночью тоже!
      • 0
        День… Ее уже несколько лет пытаются подорвать. Только основная аудитория это не видит.
    • +3
      Ничего с репутацией не случится до того момента, пока офисный планктон не увидит сломанную программу.
    • +1
      На самом деле хакнуть всё можно…
      А кипом я раньше любил пользоваться…
      Пока на миранду не переполз…
  • +4
    офигеть… интересно базу забрали?
    • +23
      ну не оставлять же было :-/
      • +6
        ну не факт что у них туда был доступ
      • –2
        Базу джаббера точно не стырили. У них в нее доступ только к вызову хранимых процедур.
        • 0
          А пароли где хранятся?
          • +6
            пороли от аккаунтов джаббера в ejabberd базе и у сайта есть только процедура, которая по паре логин, пароль отвечает y или n
          • –1
            Пароли пошифрованые могут и должны хранится. Хотя если у вас пароль 123, то и это не поможет.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          мб фэйк? 200$ всего…
          • –1
            А какой смысл там делать фейки? Там деньги просто так не вывести, типа если за неделю (примерно, точно не помню) не будет претензий — выводи.
            Просто для смеха?
            • 0
              Хм, тем временем цена уже стала 75$…
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
  • +18
    пиздато а как мы узнаем что «сообщение от админов» это таки от админов? :)
    • 0
      ну я думаю завтра все успоскоится… и отпишутся
      • +47
        Уже отписались — видите большими красными буквами предупредили ничего не качать и передали приветы?
        • НЛО прилетело и опубликовало эту надпись здесь
          • +2
            а разве нельзя?
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                ты кем будешь, родной?
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    Кмк лучше при цитировании использовать кавычки.
  • +27
    мда… сегодня прямо день ненависти квипа
    • +11
      Предлагаю сделать национальным праздником)))
  • +18
    Скриншот одним куском удобства ради.
    • 0
      пока делали скрин, приветы поменять успели :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      кому что…
    • +4
      Вам надо чтоб вам квип мигающий Поп-ап баннер выкидывал с бегал по экрану, чтоб вы поняли, что это не PR?!
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    чёрт! опять пароли менять…
    я был одним из тех, кто «доверил хранение своих пассов на их сервере»…
    • +17
      Попробуйте не пароль, а протокол сменить — говорят помогает.
      и пароль старый юзать можно будет )
      • +23
        Протокол желательно на XMPP поменять.
        • –16
          А почему не MSN?
          • +8
            Так сказало IETF.
            RFC на спецификацию MSN запилили при попытке стандартизации :-)
            • 0
              <irony>Происки Торвальдса со Столлманом, не иначе. И/или Шаттлворта. Ну в самом деле — не может же Microsoft разрабатывать настолько кривые протоколы?</irony>
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                В том же формате ворда UB есть.
              • 0
                Ну, кстати, на мой взгляд протокол MSN не особо крив. Есть шороховатости, но вцелом задачу свою выполняет.

                Я, правда, знаком с ним лишь на уровне того RFC.

                IETF запилили его скорее всего из тех соображений, что не было как минимум двух совместимых реализаций сервера — есть какое-то подобное требование.
        • –1
          квип и так через xmpp работает. в том числе.
      • –2
        А как смена протокола поможет, если использовать старый пароль?
        • –1
          шутка юмора была
    • –1
      А я предупрждал
  • 0
    Что то админы ещё спят…

    обвнолено сообщениие:
    «bro0 ist der Beste!!! :-)))

    from brute.ru-hacker with love!!! 23»
    • 0
      Рута крадут обратно )
  • +44
    кто там доверял все пароли квипу?))
    • 0
      Они хранятся совершенно на другом сервере, если глянуть что куда отправляется
  • +2
    На античате уже пароли к админке выложили…
    • 0
      чет уже не пашут
      • 0
        Может и фэйк, я не проверял) А может уже поменяли.
        • 0
          поменяли) почитайте главную квипа)
          • +15
            Там на глагне уютный чятик, да.
  • +4
    Прямо улыбочка на лице.
  • 0
    От представителей проекта так до сих пор ничего и не слышно?
    • 0
      Мне кажется они пока спят спокойным сном)
      • 0
        да ну… выложенные пароли уже неподходят)))
        может проснулись… а может уже поменяли вместо них :D
        • –2
          А может, и фейк был — что тоже немаловероятно :)
        • +6
          судя по дефейсной новости на qip.ru, какая-то «белая шляпа» пролезла впереди всех скрипт-киддосов и, из чувства глубочайшего сострадания к админам и разработчикам, поменяла пароли на другие O_o
      • 0
        Забавно… А ведь и правда — у подобных проектов часто никто не знает, как связаться с разработчиком… А те кто знают, не лазят по сайту проекта в три утра…
      • 0
        Уж лучше неспокойным ) Проснуться, зайдут и тут такое…
  • НЛО прилетело и опубликовало эту надпись здесь
  • +37
    Miranda FOREVER!
    • +46
      всем мирандовцам чмоке!1
      • –30
        И до вас доберутся %)
        • +5
          до нас? каким образом?)
          • –22
            таким же. хотя надеюсь что дыр в ней и на сайте нет, или, хотя бы, не найдут.
            • +22
              вы сумашедший?
              причем тут сайт вообще?

              у нее вообще код открытый — надо, качайте
              • –6
                практически все, кто пользуется мирандой не собирали ее из исходников. а в бинарнике может быть что угодно, учитывая то, что некоторые популярные сборки вполне даже закрытые.
                • +3
                  Собственно сборки основываются на оригинальном ядре+плагины от Miranda Team. Поэтому при желании можно просто сравнить размер файлов и md5-хеш от нужной версии.
                • +3
                  а как вы представляете открытую сборку? все в исходниках?
                  простите, но такое извращение даже не под каждый дистрибутив линуха встретить можно.

                  Суть не в том чтобы каждый читал код перед сборкой, а в том, чтобы была такая возможность.
            • +17
              Каким же «таким же»? Дефейснут сайт? А как это затронет пользователей? Миранда не хранит пароли пользователей на своём сервере, в отличие от.

              Так что это «и до вас доберуться» от товарища выше — просто от нечего сказать ;)
              • +10
                Нифига себе новости! А за каким это квип у себя хранит чужие клиентские пароли от чужой мессенжер-сети?
                • +22
                  Да это ещё не самое смешное. Самое смешное — это то, что «по рассказам очевидцев» галка «сохранять пароль на сервере» по умолчанию стоит, а чтобы её убрать — нужно залогиниться. Следовательно последовательность действий такая: логинимся — (пароль сохраняется на сервере, т.к. галка стоит) — лезем в настройки и убираем галку. А пароль уже улетел.
                  «Вот такая, панимашь, загогулина!»
                  • –8
                    Да поможет вам /isolated =)

                    Первое дело что делаю когда ставю квип — дописываю к шорткатам ключик — не нужна запись QIP.ru, ну и пароли не улетают =)
                    • +2
                      Да поможет!

                      Информация об этом супер-ключе, разумеется, появляется при первом запуске, перед логином, предупреждая, что пароль сейчас улетит на сервер. Или висит на главной странице qip.ru. Ну или как минимум на странице скачивания…
              • 0
                *доберуТСя, ёлки-моталки!!!

                Дожил… =\
                • –2
                  Эээ… Вас раздражает правильное написание -тся/ться? =)
                  • 0
                    Правильное написание — «и до вас доберуТСЯ». Т.к. отвечает на вопрос «что сделаюТ?»
                    • 0
                      Виноват. Я отчего-то подумал, что Вы отвечали на комментарий Bobos'а, который грамматически совершенно верен (хотя и провокационный по содержанию).
        • +1
          GNU GPL не победить! хаха!
        • +4
          Да там все скучно — фордпресс, функциональный клиент и никакого пафоса и пассворд сторейджа.
    • 0
      Хе хе :)) Это точно
    • 0
      было дело — пользовался мирандой
      в свете последних событий (был грешок — юзал инфиум) — думаю — дай погляжу снова
      МОНСТР! а таковых мне не надо :( мне бы чего нибудь попроще…
      подумал — «а чего выделываться?» и поставил на домашнем виндозе SIM (которым уже много лет под линем пользуюсь)
      Вот ОНО!
      Вздох облегчения, безмятежная улыбка…
      и что бы народ не говорил про пиджины, копыта, миранды и квипы — СИМ — дружба проверенная временем!
  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Хоть бы скриншоты админки вывесили.
    • –2
      ниче интересного
      • –1
        Даже номерков с паролями нету? Обидно.
      • 0
        ну что бы узнать не фейк ли)
      • 0
        епрст, не туда ответил)
        ответ пару каментов ниже.
        • 0
          блжад, хабр каменты местами путает, это не я!
    • +14

      найдено на античате
      • +9
        интересно, что в разделе «пользователи qip» находится
        • +8
          конечно же там гигантская таблица вида:
          uin — password

          ))
  • +4
    ждём базу аккаунтов джаббера qip.ru =)

    хотя я что-то сомневаюсь, что у дефейсеров был доступ куда-то дальше CMS'ки
    • +1
      Истина в последнем абзаце содержиться у тебя, надеюсь я.
    • 0
      её не будет, прости, всё на других серверах, судя по tcp пакетам
  • –6
    АААХХААХА))))))
  • +1
    на форуме AntiChat.ru выложили аккаунты от CMS сайта

    налетай! ^_^
    • 0
      блин… смотрю я на эти пароли и думаю «Уж какие-то они простые совсем...»

      123456 — самый популярный.
      Админы квипа рекомендуют! :)
      • +7
        Похоже, что доступ к админке был у хакеров постарше уже некоторое время. Только сейчас он попал в руки киддисов, которые устроили палево и эту всю дребедень. Это коственно подтверждается оговоркой сердобольного взломщика о том, что у него есть дамп базы недельной давности.

        З.Ы. А пароли, явно, ресетнуты специально…
  • +12
    На всякий случай все сменил и ушел к Pidgin'у.
    • +6
      Правильно — он пасы вообще локально в xml даже нехешированными хранит -)
      • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          Как бэ у Pidgin`a это уже ретро, всем известно — нет?
          • НЛО прилетело и опубликовало эту надпись здесь
      • +3
        Конечно правильно, в документации это тоже написано открытым текстом. Ибо мессенджер _не предназначен_ выполнять функцию защиты пароля на локальной машине.

        Рассказать как у нас на работе кул-хацкеры тырили пароли через всякие QiP и им подобные?
      • +7
        В хэшированном виде пароли хранить бессмысленно, т.к. тогда им нельзя будет воспользоваться для большинства методов аутентификации, а шифровать бессмысленно (покажу на примере psi), т.к. тот же pidgin будет где-то ключ для расшифровки иметь.

        Итого, вы сказали бессмыслицу.
      • 0
        А правильно — хранить хеш пароля? о_О
  • +33
    Ильхам Зюлькорнеев, надо учить Ильхама, C++ Delphy бесплатные компоненты скачать.
    • +2
      десткое порно
    • НЛО прилетело и опубликовало эту надпись здесь
  • +4
    history.qip.ru/ — тут, между прочим, хранится (без моего ведома, естессно), история по jabber-переписке. Когда глушили ICQ-протокол, я тут на 400 страниц наговорил.
    За{эцсамое}ся удалять.
  • +1
    Епта, опять пароли менять… Я и так параноик, пожалейте, блин.
    • +15
      Параноики юзают кип? 0_о
      • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Это особый вид параноиков-мазохистов: хранят пароли где попало, но панически этого боятся :)
      • 0
        Юзают его, чтобы не расслабляться.
  • +3
    а тем временем блондинки скачивают qip
    • 0
      Пересчитал сейчас md5 суммы экзешника с сайта и с локалки — одинаковые.
      • +1
        вывод один — добрые хакеры существуют
      • +1
        Это упущение
      • –2
        А кто вам сказал что _до этого_ вы скачали чистый qip?
        • +4
          Давайте только без паранойи.
        • +1
          Я скачал с локальной дс, расшарено было у 5 человек.
          Сомневаюсь, что они все его сегодня скачали.
          Вообщем, если кто ещё захочет проверить, мд5 = ac0994e7b9969bcf9b4cc127c315ea6a
  • 0
    Минут 40 назад или 30 скачал квип для телефона, симбиан.

    На главной этого не было, т.е. лучше снести чтоль, типа прога может быть заражена?
    • +1
      Да врядли они заразили что-то, а тем более версию под симбиан. Думаю если это было их целью, то всё было б сделано тихо и без лишнего шума.
      • 0
        Значит те глюки, что были с этим не связаны, ну хорошо:)
    • +1
      1) Не думаю, что кто-то «портил» клиенты, просто красиво дефейснули главную.
      2) Если и заразили что-то, то до симбовской, ну очень вряд ли, что добрались…
      • +44
        Где ж красиво?

        Так верстают только мудаки [x]
  • 0
    странно что эксплоитов не напихали…
  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Ну всё. Сегодняшний день войдет в историю, как день когда квип окончательно провалился. ИМХО, теперь начнется стабильный отток пользователей в пользу других клиентов.
    • +21
      Не будет :)
      • 0
        Почему? Репутация подорванна, сегодняшние события быстро расползутся среди пользователей. Да и последняя политика навязывания лишних сервисов тоже не поспособствует повышению популярности.
        • +10
          Потому что треть пользователей вообще не узнает об этом, а практически всем остальным будет всё-равно.
          • +1
            Я бы сказал 9/10. Рассматривая наш офис в 20 человек — ровно 9/10
        • 0
          Среди обычных пользователей QIP далеко не все такие сознательные…
          Так что эффект от взлома ожидается минимальный. С утреца админы всё тихонько пофиксят и скажут что ничего особенного и не было. :)
          • +16
            хабрамиссия рассказать всем о взломе сайта :)
        • НЛО прилетело и опубликовало эту надпись здесь
          • +7
            Вы что, Хабр это же священная корова хабра. Немедленно забудьте об этом, вам приснилось
          • +6
            Да тут половина на чанах сидит, у них имунитет к ЧВ.
    • +7
      А как было бы красиво на 9ого мая это сделать, ещё символику победы, поздравление ветераном такими красными буквами, цвета победы. Эх, поспешили…
      • 0
        Ну почему поспешили, у них еще сайт РБК остался на закуску, авось и его вылечат)).
    • +2
      Не думаю. Большая часть пользователей квипа даже не подозревает, что есть и другие «лучшие аськи» на самом деле. Да и убедить некоторых других юзеров, даже тех кто посещает хабр и понимает о чём может идти речь — нереально. Пока гром не грянет мужик не перекрестится. Что-то вроде «Взлом сайта??? и чё у меня аська работает.». Вообще сам я перестал хоть как-то уважать квип после того как узнал про то что его купила РБК — слишком уж хитрая это компания, которая никогда не купила бы убыточный проект, или тот у которого нет будущего. Пользователям квипа стоит задуматься чем это может грозить.
      • 0
        Ну я уж и не знаю, что нужно людям. И главную ломали, и сервисы навязывали, и трояны впаривали. Осталось только, чтобы, квип при запуске сообщал пользователю, что он (пользователь) полное г… о и что он (пользователь) теперь принадлежит с потрохами компании РБК.
        • +13
          Последние новости.

          Вышла спец-версия QIP designed by самизнаетекто. Из нововведений: поп-ап баннер с надписью «Ты — гавно, %username%» и верстка не как у мудаков.
          • +2
            Вот зачем Вы им сейчас подкинули выгодную идею? Потребуйти с них за это процент ;)
      • +1
        Не ставьте Ubuntu — хитрая компания Canonical на нем зарабатывает!

        P.S.: Вы правда считаете что проект должен существовать либо на энтузиазме либо сдохнуть?
        • +2
          Нет, но я считаю что ни к чему хорошему то что он куплен РБК не приведёт. Как уже и выясняется, не буду подозревать их в чём-то или обвинять, но то что они в первую очередь преследуют свои интересы в ущерб пользователям это плохо, но ничего другого от РБК ожидать не стоит. Тут уж каждый сам конечно решает — использовать продукт или нет, и как выясняется многие от него уже отказываются, и не на пустом месте.
          • –1
            РБК очень неплохой холдинг, почему у вас такая неприязнь к нему? К тому же это одна из немногих компаний, занимающихся венчурным инвестированием стартапов и веб-проектов на российском рынке.
            • –1
              и много по-вашему стоящих стартапов из-под них вышло? :)

              по-моему так РБК уже давно сдулась в этом плане…
              • 0
                Они по-крайней мере есть и занимаются этим. У нас с венчурным инвестированием в России не просто плохо, а беда и важен любой фонд. Вот допустим вы пришли туда со своим проектом, допустим убедили бы и вам дали деньги — что вам еще то надо? Дальше в большей степени от вас проект и зависит.
                • +1
                  Вообще достаточно немного почитать о них и всё встаёт на свои места. Причём что интересно — воруют они совершенно открыто и полностью уверены в своей безнаказанности учитывая то сколько раз уже были случаи.

                  Вот такие комментарии встречаются о них:
                  Интересно, а в РБК есть хоть одно подразделение, которое не ворует? Портал все тырит почем зря, газета ворует, телеканал ворует, интернет подразделение вовсе продает краденую музыку через delit.net. Эххх, нравится мне эта бизнес-модель!
                  • 0
                    Хм… А телеканал или газета что воруют? А портал? Везде же есть контракты на покупку медиа-материалов и прочие соглашения. Откуда у вас такое вообще?
                    • +1
                      www.webplanet.ru/news/law/2007/05/07/comments/weaponer_vs_rbc.html

                      Комментарий из этой темы. Что они там воруют — меня мало интересует, но факты были — я не склонен считать что это чёрный пиар. Я ни разу не слышал ничего хорошего об этой компании, постоянно они пытаются что-то урвать нечестными методами, уверен что и не брезгуют обливанием грязью своих конкурентов. Также считаю что не случайно QIP начал терять своих пользователей — уверен, здесь не обошлось без вмешательства РБК, которым по сути плевать на пользователей — их основная цель это как можно скорее получить максимальную прибыль с проекта, суть в том что пользователи от этого мало что выйграют как мне кажется. Поэтому эти плевки в сторону пользователей будут продолжаться.
                      • 0
                        Не знаю по какому принципу работает венчурный фонд именно у них, но обычно такие фонды лишь спонсируют разработку/развитие, заключив контракт на выгодных для себя условиях(участие в бизнесе, возврат инвестиций, процент дохода и т.п.), а далее разработчики сами изыскивают пути для развития и извлечения прибыли.
        • 0
          далеко не у каждой компании есть свой Шаттлворт с кучей $
          • 0
            Есть у каждого стоящего проекта либо компании с толковым менеджером. Шаттлворт или какой другой инвестор, но есть.

            И, кстати, Ubuntu вполне себе доходный проект, а не благотворительность Майка.
            • +3
              Марка, а не Майка.
              И по-моему всё-таки убыточный, но спорить не буду — лень гуглить :)
              • 0
                Ну конечно же Марка, ночь дает о себе знать -/

                Ubuntu имеет несколько контрактов с вендорами, например Dell, а также довольно успешно начала продавать поддержку своих продуктов в последнее время. Растет бренд, ширится поддержка. Если ubuntu на дектопах корпоративного сектора уже не редкость относительно давно, то теперь на рынок подтягивается и Ubuntu Server все более активно.

                Хотя в наше время может уже и убыточный.
              • НЛО прилетело и опубликовало эту надпись здесь
  • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      и таймстампы
    • –1
      Написал, очевидно, Михаил.
  • +2
    «Спокойствие, только спокойствие. Базу паролей пользователей никто не сливал, я гарантирую это.» (с)
    • НЛО прилетело и опубликовало эту надпись здесь
      • +6
        Ну… так на главной QIP написано))
        • НЛО прилетело и опубликовало эту надпись здесь
          • +4
            никто не собирается ничего доказывать=)
          • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Это как бы ирония.
      • +1
        DROP DATABASE
        • +3
          Дропает только школоло, всё равно у хозяев бэкап есть.
          • 0
            Как я иногда жалею что на хабре нет тэга. Тут это как-то особо актуально.
            • 0
              *тэга
              • +1
                парсер…
                irony в общем )
                • +17
                  В тегах к этому посту явно не хватает метки «ёбаный стыд»! Почему до сих пор нет жёпок? Ой, кажется я не туда пишу…
          • 0
            Точно. :) Профи втихаря сливают базу, а затем незаметно барыжат или помпезно пускают в паблик «for fun».
            • +2
              Профи априори «For Fun» не работают, поверьте на слово ;)
              • 0
                далеко не всё на свете упирается в бабло / шкурные интересы
                • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              Профи априори «For Fun» не работают, поверьте на слово ;)
          • 0
            невсегда-невсегда… так что можно попробовать:-)
      • 0
        шестое чувство)
    • 0
      на античате говорят совсем по-другому
      • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        балаболов на форумах много

        но всё-таки будем ждать заветный архивчик… ;)
  • 0
    А блог инфа тоже вниманием уделили…
  • –1
    хуй на главной будет?
  • 0
    Не понятно, разве у них jabber сервер и web сервер на одной машине крутится?
    • +5
      да что вы, это ж теперь коммерческий проект под крылом РБК :)
      там наверняка *nix кластер с БД под Oracle, обслуживающий ихний jabber сервер
      • –1
        Не слишком ли вы высокого мнения об РБК?
        • +2
          Да, irony явно не хватает :)
    • +1
      Ну… Дело в том, что может Jabber и WEB сервера разные а сервер баз данных один.
      С учетом того, что сервисы у них друг с другом слегка интегрированы, то это весьма вероятно.
      Хотя как у них там на самом деле — я без понятия
  • 0
    а ссылку на блог инфа дайте)
    • 0
      inf.ru
      • 0
        403 Forbidden
        • +1
          Убили:( Ночью работал.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    222233333 — хозяин этой аськи походу сменил ник под напором сообщений)
    • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    Вроде вернули все…
    • 0
      угу
    • 0
      А на блоге уже переписка идет)
      clip2net.com/page/m0/955927
    • 0
      На inf.ru еще висит текст.
      • 0
        А как этот сайт относится к квипу?
        • +2
          блог ведущего разработчика
    • 0
      На форуме раделы еще переименованы пока
  • –1
    Я думаю, даже если БД юзеров слили-она зашифрована, так что бесполезно.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Ну, ведь у QIP есть сервис «хранение паролей на сервере»…
        Значит они уже автоматически не зашифрованы
        • 0
          Что значит автоматически не зашифрованы?
          • +6
            Раз они хранят пароли на сервере qip.ru «для удобства пользователей», значит эти пароли там хранятся либо в открытом виде, либо обратимо зашифрованы каким-то ключем, который при желании можно «найти».

            Или я ошибаюсь?
          • +2
            Пароль хранится на сервере квипа. Чтобы залогиниться на тот или иной сервис нужен именно пароль, а не хеш, поэтому с сервера квипа нужно получить реальный пароль. Так что там если и есть какое-то шифрование, то оно обратимое.
            • –3
              Передается пароль, считается хеш-функция, сравнивается с хеш-функцией в базе. Шифрование есть? Есть.

              Используется более симметричное шифрование. Это ведь шифрование? Да.

              Сам факт того, что пароли хранятся на сервере не делает их автоматически не зашифрованными, но повышает риски ИБ.
              • 0
                У вас есть хеш вашего пароля. Залогиньтесь с помощью этого хеша на хабр.
                • –1
                  Какой в этом смысл? Мне кажется мы сейчас вообще о разном.
                  • +8
                    Попробую разъяснить:
                    QIP предлагает такую «услугу»
                    У тебя в квипе настроено 5 аккаунтов: 1)вконтакте, 2)яонлайн, 3)сам квипо-жаббер, 4)жаббер и 5)аська
                    Ты пришел из дома на работу и решил настроить эти аккаунты там… Придется всю настройку проводить заново.

                    Их предложение: квип сохраняет ВСЕ учетные записи на своем сервере (тип сервиса, логин, пароль) и когда ты придешь на работу и подключишь только учетку 3)сам квипо-жаббер остальные учетки подключатся автоматом!
                    Чтобы эта система работала, нужно хранить на сервере все данные В ОТКРЫТОМ виде
                    • 0
                      Хм… Интересная «услуга». Это начиная с инфинума такой комбайн держат?
                    • +1
                      Ну, скажем так, не в открытом, а в ОБРАТИМОМ :)
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          Толк в том, что чисто принципиально обратимое шифрование — все равно шифрование, а не plain text, потому сторейдж не «автоматически не зашифрованный».
                          А суть в принципиальном докапывании до этой фразы(по крайней мере с моей стороны).
          • 0
            И, кстати, если на Jabber сервере SASL аутентификация идет по механизму DIGEST-MD5, то Jabber серверу НУЖНО знать пароль в открытом виде: www.bog.pp.ru/work/SASL.html

            Аутентификация на жаббере QIP идет именно по DIGEST-MD5.
            А у многих пароли/логины от квипо-жаббера совпадают с паролями/UIN-ами от аськи (там любят JID-ы вида 987654321@qip.ru )
            • 0
              Ну да, это все меняет. Странное решение, конечно.
            • 0
              Нет, ну хореография безопасности была итак понятна, но даже в этом случае они не стали бы хранит базу на том же сервере, да и предоставлять к ней доступ с админки qip.ru

              Ну то есть хотелось бы думать, что это не доведено до маразма. Наверняка ведь сервер аутентификации используют другой?
    • +1
      до-до-до! аццки зашифрована и обратно уже никак :)
      там навяернка SHA1 хэш пароля, в лучшем случае
    • +3
      Я думаю, у многих пользователей пароли быстро подбираются по словарю
    • +7
      хорошо что мне боятся нечего) номер аськи страшнее чем md5 хеш)
      • 0
        могут спереть чисто чтобы проспамить с него твоим контактам какую-нибудь ссылку.
        • –32
          а по ебалу?
          • –1
            Нада было * вместо 'е' поставить хотя бы )
            • 0
              да какбээээ… не жалко карму=)
        • +1
          Ага, а ещё можно пентагоновские сервера ломать, чтобы с них спамить. Иногда быстрее (дешевле) сломать 5 других чайников, чем возиться с одним продвинутым.
      • +1
        Номер ICQ с буквами?
    • 0
      Буквально вчера лазил по их сайту, читал про микроблог. Куда тыкал не помню, но в итоге свалилось на почту письмо:

      Здравствуйте!

      Поздравляем с успешной регистрацией на сайте friends.qip.ru.
      Для подтверждения e-mail просто перейдите по ссылке
      friends.qip.ru/register/?confirm=54f689554f6f2580da724fc4daeeb3ро

      Ваши регистрационные данные:
      Логин: 1234567@qip.ru
      Пароль: superpass

      Пароль пришел ОТКРЫТЫМ текстом! Извращенцы.
      • +2
        а что он должен был придти вам на мыло в виде md5 хэша?
        • +2
          Он вообще не должен был ко мне приходить. Зачем передавать пароль в открытом виде?
          Даже если я его забуду пусть сделают процедуру восстановления пароля, но не шлют его открытым.
          • 0
            P.S. в смысли пусть пришлют процедуру сброса пароля
            P.S.S. Мда, кто минусуют видимо не подозревают всей прелести того, что к ним в почту сваливаются их пароли ко всем ресурсам. Представте, что ваш ящик взломали, а там пароли ко всем форумам, аське, интернет-банку. Красота…
  • –1
    Мессенджеры сосут
    • +1
      го обратно в e-mail & Usenet :)
      • 0
        Post mail.
        • +1
          snail mail
          • +3
            Rock carvings
            • 0
              Ретроград! Чем глиняные таблички не угодили-то, а? Гораздо проще — выдавил, обжёг и вуаля! Тот же камень.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Гуд. Молодцы :)
  • 0
    Молчат, гады 8)
  • 0
    Вот для таких случаев и не надо, чтобы пароли от аськи хранились где-либо на квип.ру «для удобства».
  • +1
    да всё запилили уже, вероятно и на форуме все темы про взлом потрут а авторов побанят
  • 0
    кстати анализ вылодженных паролей показывает что их сложность чуть^W стремится к нулю!!!
    • 0
      Может пароли те фейковые были) для показухи на античате) а в реале другие)
  • 0
    Следующая картинка)
    clip2net.com/page/m0/955969
  • –11
    Очень смахивает на тщательно продуманный PR дабы привлечь внимание даже тех, кто и не слышал что такое квип. Уверен что сегодня последует какое либо опровержение о взломе и то что обычным юзерам нечего боятся.
    • 0
      либо же базы с паролями и всёй инфой, которая отсылалась на сервер, куда-то утекут, а разработчики всё свалят на злых хацкеров. Мол, мы не при чем. Скажите им, ага.
    • +2
      Это не тщательно продуманный PR дабы привлечь внимание даже тех, кто и не слышал что такое квип.

      Откуда вообще такие мысли берутся?
      • 0
        Из головы — откуда же еще? =)
        • +5
          Поверьте, у некоторых есть еще много интерестных мест, откуда берутся мысли :)))
    • 0
      Чем тут можно привлечь? Тем что QIP может быть взломан каждым вторым школьником?
      Опровержение будет выглядеть глупо, как минимум.
  • 0
    Таки да, хранение своих паролей на сервере квипа — очень и очень нужная вещь :)
  • 0
    Был бы я разработчиком, уверенным, что пароли утекли-я бы сейчас всем пользователям принудительно сменил их, с отсылкой уведомления на почту
    • +3
      сменил пароли и предложил получить их после отправки смс.
      • 0
        Отличный пример говно-монетизации. =)))
        Распугать большую часть пользователей, а у самых стойких требовать денег.

        • +8
          Что-то мне подсказывает, что 90% отправят смс
    • +1
      ахаха. Представьте, что у людей в учетках квипа хранились gtalk-аккаунты. Вы бы им поменяли пароль, выслали уведомление на gmail… Занавес.
      Да и вообще, на какую почту слать уведомление? @qip.ru? Так ее пароль тоже менять надо…
      • 0
        я имел ввиду пароли на ICQ, слать на почту, указанную в профиле ICQ
        • +2
          Это не находится в компетенции разработчиков QIPа
  • +2
    И вообще, квип — типичный пример русского интернет-«бизнеса». Темные истории со стыренным кодом, наплевательское отношение к пользователям, к безопасности, аггрессивный амаркетинг пристроенных рядом помоечных сервисов — и что же, в результате чуваки получили инвестиции :) Учитесь, дети.
    • 0
      Тогда уж азербайджанского, а не русского. Ильхам Зюлькорнеев же.
      • 0
        Он татарин по моему. Не «азер».
        • 0
          Он казанец, ребят…
          • 0
            и кажись он только программер основной версии…
            бизнесом бизнесмены занимаются
          • +1
            Ух ты! В Татарстане как и в России: Казань отдельно, Татарстан отдельно? Даже национальность отдельная: «казанец» (как «москвич»)? %)
            • 0
              Не понимаю смысла в Вашей иронии. Татары живут не только в Казани. Так же по всей(достаточно не маленькой) территории Татарстана, в Крыму (т.н. крымские татары), и во многих других регионах России. Я же всего лишь указал, что данный товарищ живет не в Крыму и не где-то на территории Татарстана, а непосредственно в Казани. А «казанец» это не национальность, а принадлежность к конкретному городу.
              • +1
                >Татары живут не только в Казани.

                А в Казани живут не только татары :)

                По-моему товарищей выше интересовало не место проживания, а именно национальность. Ваш ответ «он казанец» не несёт никакой информации. Как раз потому, что в Казани живут не только татары, а татары живут не только в Казани.

                Ну представьте такой диалог:

                — А что это за ****аев? Чеченец что ли?
                — Он казах по-моему.
                — Не, ребята, он из Караганды.

                Вопрос: несёт ли какую информацию 3-я реплика?
                Ответ: нет. Он может быть как казахом из Караганды, так и чеченцем из Караганды :)
  • +2
    Надеюсь Хабрадмины смотрят, что происходит: сначала freelance, теперь qip и усиливают защиту)
    • –2
      да с хабром тоже когда-то было. так что админы уже наверняка всё продумали.
      • +1
        всё не продумаешь
  • +4
    Да они все упоротые!
  • –1
    Еще пара таких дней и QIP появится в облаке тупой фигни, причем размером с Яблоко.
  • –10
    Никогда не понимал, чем официальный клиент плох?
    • +2
      Рекламой и функционалом.
      • +1
        Рекламой и отсутствием функционала. А еще — системными требованиями.
        • +1
          Рекламой, отсутствием функционала, системными требованиями, а еще протоколом.
          • 0
            А ещё тайным подсовыванием по умолчанию всякой мерзости в ваш статус и передачу файлов.
            • 0
              свежевзломаный квип страдает тем же самым
          • 0
            протокол ICQ у миранды и аськи общий. А вопрос задавали про конкретно официальный клиент. В конце концов, если не нравится протокол ICQ — не надо им пользоваться. Мне он не нравится, так я и не пользуюсь им :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      При чём тут админы? Сайты пишут не админы, соответственно ошибки в коде допускают не админы.
  • 0
    форум тоже поломали

    forum.qip.ru/showthread.php?p=302689#post302689
    • +4
      А вот так выглядят названия форумов:



  • +5
    Хабралюди, посоветуйте, пожалуйста, удобную сборку Миранды преимущественно для работы с аськой и google-talk?
    • –3
      попробуй coffee-project.com/
      • 0
        Спасибо за ссылку. Я думал, что проект закрыт из-за конфликтов с лицензией.

        Лучшая сборка которой я пользовался. Сейчас пользуюсь своей, но всем друзьям буду советавоть «конфетку» Hot Coffee.
        • 0
          Согласен, лучшая из десятков сборок, которые я пробовал. Здорово, что оказывается продолжается работа над ней! А кто-нибудь в курсе чем конфликт с лицензией закончился?
          • 0
            Ничем, официальная команда не поддерживает хоткофее, например когда пляски с аолом были новый icq.dll из официальной сборки в сборке хоткофе не работал ;)
    • +1
      miranda-planet.com/forum/index.php?autocom=downloads&showfile=1060 — вот, к примеру
      а вообще можно просто miranda-planet.com/ полистать — за пару минут можно выбрать то что более всего по душе
    • 0
      Пользуюсь MirandaLS сборкой. Автоапдейтер мне там нравиться :)
  • +3
    Знал я, что с теми, кто пишет на Delphi такие проекты что-то не чисто.
    • +2
      Не гоните на Delphi :) Хороший инструмент
    • +1
      Да и проект это не только сам клиент
  • –3
    истеричка
  • –4
    уже полгода игнорирую qip пользуюсь skyp'om, как чувствовал:)
  • НЛО прилетело и опубликовало эту надпись здесь
    • –2
      403 Forbidden — доступа нет.
      Крепко их подырявили видимо.
  • –6
    Хахахахахаха =))))) Неудачники =)))) Жалко им вообще все нахрен не потерли =)))
    • 0
      Жалко у пчёлки в попке.
  • +1
    Угнали базу, я запускал еще когдато давно инфинум на одном из 6ков. Естественно пасс неподлежащий бруту. Прекрасным сегодняшним утром подключаться он перестал(kopete, incorrect password). Обидно только то, что контакты перетаскивать на другой номер.
    • 0
      Ибо все равно уже больше пользуюсь джаббером и скайпом. В аське есть контаты, которые еще не перешли на хотя бы один из этих сервисов =)
  • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    Мне кажется qip зашёл слишком далеко, сначала микроблоги без разрешения юзеров, пароли на сервере, вот и поплатились.
    Сейчас будет наблюдаться отток пользователей с qip, если конечно новость быстро разойдётся по интернету.
    • +2
      Есть люди, которые вообще не используют аську под виндой, не то что qip — никсы, макось. Параноики, но всетаки. Я в том числе. Уже полгода или больше.
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Форум закрыли на qip.ru
  • 0
    А ведь могли бы просто втихаря протроянить клиенты для скачивания.
    • 0
      думаете, там админы совсем тупые сидят?
      • 0
        А это что было?
  • +64
    А МОЖНО НЕ ПИСАТЬ БОЛЬШИМИ БУКВАМИ В ЗАГАЛОВКАХ????? А ТО Я ПУГАЮСЬ!!!
    • –5
      МАМА!!!
    • –2
      НА ОТЛИЧНЕНЬКО!!!!111адин
    • 0
      Почему капс без разрядки? :)
  • –3
    Очень похоже на спланированый сценарий. Сначала собрали пароли, а потом чтобы ими воспользоваться (продать, например) и снять с себя ответственности их якобы похакали.
  • +1
    Я вот до сих пор не понимаю сакральной надобности хранения паролей на сервере. Кому это нужно и кому от этого лучше? Со стороны пользователя все как было (либо вводить пароль, либо оставлять галочку «запомнить») — все так и есть. В каких случаях хранение на сервере мне что-то даст?
    И да — собрал уже свою миранду
    • 0
      ну, вообще говоря, так как клиент мультипротокольный это делается для тех, кто не может запомнить все пароли к своим сервисам. Ну или не хочет. То есть идея-то неплохая по сути. Но вот то как это ущербно сделано…
  • +5
    Убежал на миранду.

    На вопрос саппорту квипа, как от них полностью удалиться получил следующий ответ:
    К сожалению, такой возможности пока нет на нашем проекте. С уважением, Светлана, служба поддержки проекта qip.

    Собственно сменил все пассы, через миранду удалил jabber @qip.ru
    Еще надо/можно что-нибудь сделать?
    • 0
      а зачем еще чего то делать ?:)
      • +1
        ну мало ли что то забыл.
        параноя знаете ли ))
        • +7
          Можно, например, научиться правильно писать слово паранойя.
          • –5
            Как содержательно и как в тему!
    • 0
      Попросил удалить акк. вручную.
      Удалили :)

      А может просто пасс сменили :)
  • +4
    всегда говорил что qip гумно.
    • –1
      я очень давно с ним и как то не заметил всех их наворотов с развитием, а соответственно их минусы (пассы на сервере, история и т.д.)
      • +1
        угу, читать нотисы дурная привычка, вышла новая версия и фиг с ним, главное слить и поставить.
        • –1
          вы знаете, быть столь категоричным, это гм… ну не хорошо, если все будут читать нотисы, на весь софт который обновляют, и понимать что там написано, то не кому будет дома строить, и людей лечить ;)
          • +5
            когда лекартво принемаете, про побочные эффекты и противопоказания тоже не читаете потому что нужно строить дома и лечить людей? :)
      • +12
        Когда qip тайно подсунул мне в статус идиотское предложение вроде «Ура! У меня новый qip. Скачать можно по адресу ...», а потом вместо обычной передачи файлов послал ссылку собеседнику на свой дерьмохостинг, он выставил меня каким-то школьным придурком в разговоре с работодателем. После этого случая я никогда эту мерзость больше использовать не буду.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Такого не произойдет!
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Аха… и ворую ;) Да просто сомневаюсь что там действовали ради прибыли )
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Да если уже не утянули… все может быть)
  • 0
    Вот так новость с утра, как раз под кофе!
  • +7
    Лучше б он грохнул квиповскую почту и микроблоги…
  • 0
    есть же ещё хацкеры, которые ломают не только для того, чтобы спам рассылать.
    и на том спасибо что предупредили.
    • 0
      а ещё есть которые создают такую видимость ;)
  • +22
    Я просто оставлю это здесь:
    www.miranda-im.org
    www.miranda-planet.com
    • 0
      Так невинно, просто оставлю тут линку. Может кому сгодится :)
  • 0
    Порекомендуйте хорошую сборку миранды, так чтоб поставить и забыть.
    • 0
      поставьте и забудьте :))) (можно вообще что угодно) :)))) Выше куча ссылок на миранда-планет. там думаю любую сборку из топа можно ставить ;)
    • +1
      kopete
      • +5
        Да, это сборка так сборка — к ней и либы KDEшные, и ОС впридачу.
        • –1
          Зато потом никаких проблем не будет :)
    • +2
      Рекомендую всё же потратить время на сборку своей :) Соберете и забудете — будете наслаждаться :)
    • НЛО прилетело и опубликовало эту надпись здесь
    • +3
      HotCoffee. Качайте — не пожалейте.
    • 0
      Miranda Like PS
      Очень симпотичная сборка. В первую очередь визуально. Функциональность стандартная. Еще ни разу не падала и не глючила.
    • 0
      Miranda LS.
      Есть автоапдейтер на случай траблов с ICQ протоколом.
  • +4
    вообще учитывая интересы большей части аудитории qip новость лучше надо было озаглавить примерно так «ШОК!!! QIP.RU ВЗЛОМАН!!!!!!!»
    • +3
      и ссылка на порно с админами — виновниками взлома :)
  • +1
    Как я вовремя вчера вечером переехал на миранду и поменял все пароли-то…
  • 0
    за что боролись, на то и напоролись =)
    теперь я с крысой ^__^
  • 0
    Дефейс-то был так себе…
    • 0
      важен сам факт :)
  • 0
    Интересно, на каком языке/фреймворке был написан qip.ru?
    • –4
      QIP 2005 написан на дельфях
      • 0
        Ну это мне известно, я имел ввиду сам сайт
        • +1
          на глобальном и надежном
    • 0
      судя по всем на PHP.
  • +1
    Ура!
  • +1
    Спасибо, приятно, что есть люди, которым не все равно.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      только если это был QIP Infium