Множество информационных агентств со ссылкой на различные блоги сообщили (http://thenextweb.com/microsoft/2012/11/14/security-hole-all.../), что в Skype найдена критическая (http://forum.xeksec.com/skype.html#post98725) уязвимость, которая позволяет взломать любой аккаунт, зная только e-mail жертвы.
Порядок действия следующий:
1. Злоумышленник заходит на сайт Skype и регистрирует новый Skype ID, указав e-mail жертвы.
2. Злоумышленник подключается к Skype с зарегистрированным Skype ID.
3. На странице (https://login.skype.com/account/password-reset-request) для восстановления пароля на сайте Skype вводятся данные аккаунта жертвы.
4. Информация по сбросу и изменению пароля уходит не только на электронный ящик жертвы, но и во все открытые сессии Skype, в том числе данные по изменению пароля оказываются видимы в созданной злоумышленником сессии Skype.
Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена. Единственным пока решением остаётся смена e-mail на никому неизвестный. В заявлении компании Microsoft сказано "<i>Мы получили данные о новой проблеме безопасности. В качестве предупредительный меры мы отключили функцию восстановления пароля на время, что позволит более детально исследовать этот вопрос. Мы приносим извинения за неудобства, но безопасность пользователей имеет для нас наивысший приоритет.</i>"URL: http://thenextweb.com/microsoft/2012/11/14/security-hole-all.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=35329
[убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой] ... перехожу на gtalk
> перехожу на gtalkШило на мыло.
Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта - могут случиться казусы, подобные сабжу.В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
Так или иначе гталк хотя бы с джаббером интероперирует, а значит вы не обязаны как в случае со скайпом сидеть на том же самом дырявом проприетарном поделии что и ваш знакомый, чтобы с ним общаться.
> Так или иначе гталк хотя бы с джаббером интероперирует, а значит вы
> не обязаны как в случае со скайпом сидеть на том же
> самом дырявом проприетарном поделии что и ваш знакомый, чтобы с ним
> общаться.Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
Так что - действительно шило на мыло.
> если индусы из гугла лажанутся :)
> Так что - действительно шило на мылоА чего, обгадился Microsoft, за одно в этом же и Гугла обвиним, а вдруг он тоже? Весёлый подход. толерантный!
> А чего, обгадился Microsoft, за одно в этом же и Гугла обвиним, а вдруг он тоже? Весёлый подход. толерантный!Гугл таки имеет 100% гарантию от таких проблем?
если Майкософт обгадилась -- то вероятность обгаживания Гугла -- повышается хоть на долю процента?
> если Майкософт обгадилась -- то вероятность обгаживания Гугла -- повышается хоть на долю процента?Она и так немаленькая. Куда ж ей еще расти?
Пока что эпик фейлов за гуглом не замечено
> Пока что эпик фейлов за гуглом не замеченоОни предпочитают эти вопросы превентивно решать - платят за найденные уязвимости.
Подозреваю,что если кто-то нацдёт уязвимость в их сервисе, дающую доступ к аккаунтам - то на черном рынке он за неё получит много больше, чем от гугла
Можно попробовать устроить тихие переговоры с гуглом, изложить ситуацию, расценки, и вытрясти даже больше бабла с самого гугла. Они явно не беднее всяких спамеров и продавцов ботнетов
>и вытрястисрок
на этой борде сбор профсоюза бетменов?
> Пока что эпик фейлов за гуглом не замеченоага, только эпик вины. ToS gmail (а точнее, гуглосервисов), например. сплошной эпик вин. для гугеля.
> ага, только эпик вины. ToS gmail (а точнее, гуглосервисов), например. сплошной эпик
> вин. для гугеля.Ну нравится некоторым кактус жрать. Они это не читают а потом удивляются когда за казалось бы обычные и безобидные действия им аккаунт вынесли.
вантузятник - они такие
А мыло гугловское ломали уже. Гугл толк там же лежит. В моем собственном ящике даже появилось незаметно странное, в настройках появился ящик, на который наверное неделю пересылалась вся приходящая мне почта. Слалось куда то в Китай. Вот такие пироги.
> А мыло гугловское ломали уже. Гугл толк там же лежит. В моем
> собственном ящике даже появилось незаметно странное, в настройках появился ящик, на
> который наверное неделю пересылалась вся приходящая мне почта. Слалось куда то
> в Китай. Вот такие пироги.ага, в и этом случае прямо на экране рабочего стола Gmail -- написанно "ВНИМАНИЕ! У ВАС ПЕРЕАДРЕСАЦИЯ"...
...так-что незаметно подойти к твоему компу (когда ты отвернулся, покурить, в туалет) и вписать туда китайский email -- не так уж и безпроблематично :)
> ага, в и этом случае прямо на экране рабочего стола Gmail --
> написанно "ВНИМАНИЕ! У ВАС ПЕРЕАДРЕСАЦИЯ"...
> ...так-что незаметно подойти к твоему компу (когда ты отвернулся, покурить, в туалет)
> и вписать туда китайский email -- не так уж и безпроблематично
> :)А если делать это через дыру в гмейле, все становится гораздо проще.
> А если делать это через дыру в гмейле, все становится гораздо проще.какую дыру?
которая была 10 лет назад? (во времена когда даже Ajax толком не было?)
Google это одна из немногих компаний, у которой на сайтах нет ДАЖЕ CSRF-уязвимостей.
в отличии от многочисленных сайтов Васей Пупкинов, и их заводов (или магазинов).
> какую дыру?Через какую-нибудь.
Скайпохомячки тоже до недавнего времени думали, что абсолютно защищены.
> Скайпохомячки тоже до недавнего времени думали, что абсолютно защищены.ну тык мы тут и говорим про то что Майкрософт обгадолось :-)
когда Google обгадится (ЕСЛИ!), то тогда будем и про него говорить.а ваши Майкрософтские оправдания мы знаем. алгоритм очень простой и известный:
[quote]
1 Не признавать свою вину, кроме признанной ранее.
2 Подкинуть труднопроверяемые сведения.
3 Расширить круг участников инцидента.
4 Свалить вину на темные силы, управляемые неназванными прямо злодеями с их неправедными интересами.
5 Подчеркнуть свою важность и незаменимость.
[/quote]вот щаз вы пункт 3 пытаетесь зачемто приплести... мол не один такой Майскросфт, а Гугл тоже виноват :)
>[оверквотинг удален]
> [quote]
> 1 Не признавать свою вину, кроме признанной ранее.
> 2 Подкинуть труднопроверяемые сведения.
> 3 Расширить круг участников инцидента.
> 4 Свалить вину на темные силы, управляемые неназванными прямо
> злодеями с их неправедными интересами.
> 5 Подчеркнуть свою важность и незаменимость.
> [/quote]
> вот щаз вы пункт 3 пытаетесь зачемто приплести... мол не один такой
> Майскросфт, а Гугл тоже виноват :)А я что-то не слышал, чтобы Линус хоть раз публично заявил "Да, это я пидр, бейте меня". Для справки - ни один нормальный человек или компания, будучи в здравом уме, публично себя пеплом не посыпает.
Как раз приличнфе люди или конторы фейлы признают и толком говорят, что сделано и как минимизировать ущерб. Смотрите, к примеру, случаи, когда на крупных сайтах пароли уводили - информация напревых страницах, рассылки всем пользователям с просьбой сменить пароль и обратиться в поддержку в случае чего, и тому подобное. Потому что демонстрировать, что тебе пофиг на клиентов и их проблемы - себе дороже, по крайней мере там, где хоть какая-то конкуренция есть.
приличные? почитайте что пишут при каждом обновлении linux-stable.
где там посыпание пеплом за дыры в безопастности? только непонятное "обновление строго необходимо".
то ли дело m$! надо ребятам учиться уже: «тут у нас баг в дисковой подсистеме. чинить нам его ломы, у нас пиво недопито, поэтому мы вам всем дисковую подсистему отрубим. централизовано. а врубим тогда, когда починим. когда-нибудь. если не забудем. о, видите, отключили — и ни одного недовольного с линукса нам не написало! а потому что безопасность: без дисковой подсистемы злобные хацкеры ничего и не напишут!»
Живая демонстрация п/п
2 Подкинуть труднопроверяемые сведения.
3 Расширить круг участников инцидента.
> Как раз приличнфе люди или конторы фейлы признают и толком говорят, что
> сделано и как минимизировать ущерб. Смотрите, к примеру, случаи, когда на
> крупных сайтах пароли уводили - информация напревых страницах, рассылки всем пользователям
> с просьбой сменить пароль и обратиться в поддержку в случае чего,
> и тому подобное. Потому что демонстрировать, что тебе пофиг на клиентов
> и их проблемы - себе дороже, по крайней мере там, где
> хоть какая-то конкуренция есть.например kernel.org
куда уж полинусовее...
> А я что-то не слышал, чтобы Линус хоть раз публично заявил "Да,
> это я пидр, бейте меня"так он же не балмер, странно вести себя не будет
> когда Google обгадится (ЕСЛИ!), то тогда будем и про него говорить.Ага. Предлагаешь беспокоиться о безопасности только после того, как все худшее уже случилось?
Ты правда такой глупый или только притворяешься?
>> когда Google обгадится (ЕСЛИ!), то тогда будем и про него говорить.
> Ага. Предлагаешь беспокоиться о безопасности только после того, как все худшее уже
> случилось?
> Ты правда такой глупый или только притворяешься?предлагаешь заранее обосрать компанию которая совсем ни при чём?
и как это поможет безопасности? :)
> А чего, обгадился Microsoft, за одно в этом же и Гугла обвиним,
> а вдруг он тоже? Весёлый подход. толерантный!Все корпорасты одинаковые. Потому что работают на одинаковых индусах.
если ты считаешь что политика руководителей отделов -- НЕ влияет на работу сотрудников отделов (на работу исполнителей -- разработчиков ПО) -- то вероятнее всего ты просто ещё не успел поработать в плохой компании.говнистое (коррумпированное, ..., ленивое) руководство ставит такое количество палок в колёса исполнителям (разработчикам) -- что большое количество глупых ошибок -- неизбежный результат этого.
# P.S.: а может быть ты просто сам как раз работаешь руководителем в подобной (плохой) компании?
Кхх :-) И корпорации разные, и индусы разные (вопрос только в стоимости), и от стиля упраления и контроля куча всего зависит - в том числе с индусами-быдлокодерами. Которые после третьего возврата кода с ревью вполне понимают, что от них хотят.
> Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже существующим email? :-)
> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
> существующим email? :-)А кто сказал, что у гугла сценарий будет повторяться 1:1?
>> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
>> существующим email? :-)
> А кто сказал, что у гугла сценарий будет повторяться 1:1?это сказал (намекнул) тот кто упомянул в этой теме про возможные уязвимости gtalk
> это сказал (намекнул) тот кто упомянул в этой теме про возможные уязвимости gtalkПеречитал все обсуждение, ничего подобного нет. Можно цитату, если не затруднит?
Автор новости -- "Информация по сбросу и изменению пароля уходит не только на электронный ящик жертвы, но и во все открытые сессии Skype, в том числе данные по изменению пароля оказываются видимы в созданной злоумышленником сессии Skype."тоесть это тема которую мы тут обсуждаем.
а вот что сказал аноним:
Аноним -- "Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)"
> а вот что сказал аноним:
> Аноним -- "Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)"Аноним не уточнял, как именно могут лажануться индусы из гугла, так что мимо.
Учитесь читать то, что пишут оппоненты, прежде чем бросаться в бой с шашкой наголо.
> Аноним не уточнял, как именно могут лажануться индусы из гугла, так что
> мимо.
> Учитесь читать то, что пишут оппоненты, прежде чем бросаться в бой с
> шашкой наголо.да. Аноним не уточнял. надеюсь Аноним хотябы прочитал что мы тут вообще обсуждаем? текст новости?
>> Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
> существующим email? :-)Школота, ты знаки препинания ставить разучился?
>>> Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
>> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
>> существующим email? :-)
> Школота, ты знаки препинания ставить разучился?разучился. ещё вопросы? по теме то ведь сказать нечего?
(ой, и не надо оправданий что не хочешь говорить со школьниками. я тут не стану доказывать свой возраст и статус. так как мне наплевать что ты думаешь о моём возрасте и статусе :))
>> перехожу на gtalk
> Шило на мыло.
> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
> могут случиться казусы, подобные сабжу.
> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.+500.
>>> перехожу на gtalk
>> Шило на мыло.
>> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
>> могут случиться казусы, подобные сабжу.
>> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
>> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
> +500.Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?
> Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?Будешь так сильно передергивать - оторвешь нафиг. Потом девушки тебя любить не будут :)
>> Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?
> Будешь так сильно передергивать - оторвешь нафиг. Потом девушки тебя любить не
> будут :)Окстись, чувачило - у меня двое взрослых детей, мне уже накекать на твои сексуальные проблемы давно. Смекаешь? И ты не ответил на МОЙ вопрос. Так что - кто тут передергивает?
> Окстись, чувачило - у меня двое взрослых детей,Тебе уже есть 35 лет (при взрослых детях это весьма вероятно) - ты можешь стерилизоваться вполне законно, не прибегая к столь варварским методам ;)
> И ты не ответил на МОЙ вопрос.
Не вижу смысла поддерживать оффтопичную дискуссию.
> Так что - кто тут передергивает?
Ты :)
Ваш оппонент имел в виду, что когда есть куча серверов и у каждого свой метод восстановления пароля, то общей дырки применимой для всех сразу не существует.Ваш КО.
лучше так написать"""
Ваш оппонент имел в виду, что когда есть куча серверов и у каждого свой метод восстановления пароля, то общей дырки, такой как отправление секретной ссылки кому попало [а не на верифицированный email], применимой для всех сразу не существует.
"""правда если даже нет кучи серверов -- сёравно врятли Google будет отправлять секретную ссылку НЕ на верифицированный email.. такое только Майкрософт (и его компания друзей) может :)
>>>> перехожу на gtalk
>>> Шило на мыло.
>>> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
>>> могут случиться казусы, подобные сабжу.
>>> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
>>> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
>> +500.
> Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь
> ЛИЧНО ТЫ?Таки почему я должен что-то предлагать?
>> перехожу на gtalk
> Шило на мыло.
> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
> могут случиться казусы, подобные сабжу.
> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер."Вы можете приобрести любой автомобиль, при условии, что это будет черный Форд Т". Ну-ка, поведай нам, убогим - какие-такие продвинутые методы паролей существуют, кроме сброса линка на верифицированный мэйл?
>>> перехожу на gtalk
>> Шило на мыло.
>> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
>> могут случиться казусы, подобные сабжу.
>> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
>> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
> "Вы можете приобрести любой автомобиль, при условии, что это будет черный Форд
> Т". Ну-ка, поведай нам, убогим - какие-такие продвинутые методы паролей существуют,
> кроме сброса линка на верифицированный мэйл?+1
и при этом слово "верифицированный" -- надо прямо жирным было написать!
Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.
> Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.админ -- "без проблем дружище! высылаю ссылку на твой верифицированный email!"
double fail facepalm взломщика :)
# P.S.: а в нормальных системах -- название email -- это уже и есть логин к системе.
>> Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.
> админ -- "без проблем дружище! высылаю ссылку на твой верифицированный email!"
> double fail facepalm взломщика :)
> # P.S.: а в нормальных системах -- название email -- это уже
> и есть логин к системе.В гугле вообще-то верификация по номеру телефона(добровольно-принудительно ввели), либо по Google Authentificator, либо по листку с одноразовыми паролями. Так что по-крайней мере такой или аналогичный сценарий идет лесом.
Пусть теперь говорят о преимуществах проприетарности, ога.
Знаем мы этих корпоративных разработчиков ПО, заказывали-с.
там бОльшая часть уязвимости в механизме сброса пароля через сайт.
> там бОльшая часть уязвимости в механизме сброса пароля через сайт....реализованным компанией майкрософт после покупки скайпа...
В СПО данный механизм реализуется как-то иначе?
> В СПО данный механизм реализуется как-то иначе?Да он практически везде работает как-то иначе. В частности, ссылка на восстановление пароля приходит _только_ на указанное в аккаунте мыло.
Если бы в скайпе так делали - никакой дыры не было бы.
>> В СПО данный механизм реализуется как-то иначе?
> Да он практически везде работает как-то иначе. В частности, ссылка на восстановление
> пароля приходит _только_ на указанное в аккаунте мыло.
> Если бы в скайпе так делали - никакой дыры не было бы.А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически. Именно потому гогносоциалки так настаивают на предоставлении им мобильных нумеров для аутентификации. Не правда ли?
> А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически...непонял это сарказм или нет?
в случае если сарказм -- то где там дыра (в SMTP/IMAP) , не подскажете?
связь с серварами шифруется по TLS/SSL-протоколу, а сами письма передаются по SMTP даже с применением DKIM-цифровой-подписи отправителя.
мы какбы не в каменном веке.
>>> В СПО данный механизм реализуется как-то иначе?
>> Да он практически везде работает как-то иначе. В частности, ссылка на восстановление
>> пароля приходит _только_ на указанное в аккаунте мыло.
>> Если бы в скайпе так делали - никакой дыры не было бы.
> А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически. Именно
> потому гогносоциалки так настаивают на предоставлении им мобильных нумеров для аутентификации.
> Не правда ли?Гогносоциалкам на вас плевать, а вот номерок пригодится.
> Гогносоциалкам на вас плевать, а вот номерок пригодится.Нуачо, можно в перспективе туда годно спам с рекламой рассылать, например. Продать userbase по сходной цене - стандартный подход таких шарашек.
Вообще-то привязка номера мобилы к аккаунту в социалке делается не для аутентификации.По крайней мере пока — пока Никифоров не допилил таки в РФ пристрел дюбель-патронами одного-единственного номера мобилы к одному-единственному паспорту РФ (естественно под видом увеличения конкурентности ОпМоС'ов между собой и повышения удобства пользователей их услуг, но и [в качестве бонус-фичи спецслужбам] ради доп-контроля над гражд^W электоратом).
Ну да. В СПО ошибок не бывает из-за правильной лицензии ;)
> Ну да. В СПО ошибок не бывает из-за правильной лицензии ;)вантузные троли такие толстые
so sloooow!
Закрыли уже.
Шо закрыли? Закрыли возможность использовать фичу восстановления. И отмалчиваются. А лента.ру оказалась оперативнее, они уже давно об этом сообщили :)
> оказалась оперативнее, они уже давно об этом сообщили :)На хабрашвабре тоже сообщили задолго до того как сие "починили" путем окончательного гильотинирования :)
"Закрыли возможность использовать фичу восстановления", тем самым прикрыли лазейку (в прошлый раз не хорошо выразился). Ну а вообще, да, долго дырка была открытой.
Ну и ну. Проворонить такое... Это вам не переполнения буфера.
> Ну и ну. Проворонить такое... Это вам не переполнения буфера.Минздрав предупреждал что иная логическая ошибка - покруче десятка переполнений буфера. Наивные чукоццкие юноши не верили. Ну да, пи...нг аккаунта - более убедительный аргумент :)
Да это понятно, но тут же совсем на виду лежи. У них QA вообще нет, что ли? Боюсь думать, сколько аккаунтов поуводили через это
судя по тому, что пишут на хабре, у них еще и служба поддержки укуренная. проприетарщина, в худшем смысле этого слова
> судя по тому, что пишут на хабре, у них еще и служба
> поддержки укуренная. проприетарщина, в худшем смысле этого словаУ майкрософта-то? Ха. У этих и снега зимой не выпросишь.
> У майкрософта-то? Ха. У этих и снега зимой не выпросишь.Ну почему же? Прошлогодний, зимой, эскимосам - может даже и продадут. Если сильно повезет то даже "со скидкой".
Компания Майкрософт реализовала новую фичу: теперь кто угодно может удобно угнать аккаунт :). Все для удобства пользователя! :). И да, виноват таки майкрософт который от большого ума стал дублировать токен на аккаунт. Левый, побочный аккаунт. Просто тупая логическая ошибка: индусы не подумали что оказывается какой-то козел может юзануть уже юзаный мыльник. Это шедеврально.
Они подумали. При создании второго акка на тот же мыльник выводится предупреждение. Но дальше все работает нормально.
Так что это штатная дыра.
> Так что это штатная дыра.Это не "штатная дыра". Это полный раздолбизм индусни, которые обделены элементарной логикой и не поняли что их "нововведение" для "удобства" лихо ведет к дыре сказочного размера. Пилять, логику таких фич должен проектировать тот кто четко понимает что и нафига он делает и какие будут последствия. А все остальные индусы вообще туда соваться не должны.
> Это не "штатная дыра". Это полный раздолбизм индусни, которые обделены элементарной логикой
> и не поняли что их "нововведение" для "удобства" лихо ведет к
> дыре сказочного размера. Пилять, логику таких фич должен проектировать тот кто
> четко понимает что и нафига он делает и какие будут последствия.
> А все остальные индусы вообще туда соваться не должны.Там может не индусня, а русня - много русских в некрософте работает.
Завязка нескольких ресурсов (широко пропагандируемый "единый вход", который, слава богу, полностью сделать не удалось ни одному идиоту) на один аккаунт - бредовая по сути идея. Угон одного аккаунта означает потерю возможности работать со всеми ресурсами. При этом дыра может быть в любом из них. Это по сути еще хуже, чем один и тот же пароль на всех ресурсах, как любят делать лузеры.AD, да и вообще любой LDAP - бред из той же серии, но в меньших масштабах.
> Завязка нескольких ресурсов (широко пропагандируемый "единый вход", который, слава богу,
> полностью сделать не удалось ни одному идиоту) на один аккаунт -
> бредовая по сути идея. Угон одного аккаунта означает потерю возможности работать
> со всеми ресурсами. При этом дыра может быть в любом из
> них. Это по сути еще хуже, чем один и тот же
> пароль на всех ресурсах, как любят делать лузеры.
> AD, да и вообще любой LDAP - бред из той же серии,
> но в меньших масштабах.Тут есть одно маленькое НО. LDAP сделали таким дебилы, никогда не слышавшие о такой вещи, как Керберос и шифрование, тащемта. Вообще в LDAP есть фишка, позволяющая достукиваться к нему по шифрованному соединению. Но, всем же, как всегда, покуй.
С другой стороны - защитить один аккаунт легче. Та же двухфакторная авторизация, дополнительные проверки при "опасных" действиях - и будет счастье. А вот если дополнительный одноразовый пароль придётся на что попало вводить - пользователь взвоет.Ну и очевидная мера - резервный аккаунт, который можно использовать для восстановления основного и который больше ни дл чего не используется. Лежит себе бумажка "е-мейл + пароль" в сейфе, да и всё. Понятно, что из "основного" аккаунта о настройках "резервного" узнать должнобыть невозможно.
Единый вход плох только некоторыми (решаемым при желании) проблемами с прайваси, а вот разумно безопасным его как раз сделать не особо сложно, для 95% случаев сгодится.
> С другой стороны - защитить один аккаунт легче.Wrong! Существует over 9000 методов убедить или грамотно подставить админа с этими кренделями (уже активными). Далее прога отхватит его права и ... правильно, программа становится царь и бог активной директории. Со всеми вытекающими типа возможности выпнуть нафиг "лишних" админов, добавить нужных, захватить все компьютеры в сети вообще и прочая. И все это - в пределах единиц секунд.
Классический вектор атаки? Например так:
- Ой, посмотри, у меня вот этот текстовик на шаре что-то не открывается.Алмин идет. Смотрит. Открывает файло нотпадом. А нотпад при этом оказывается уже немного вгрузил из этой самой шары DLL с именем системной DLL в свой адресспейс. Ибо майкрософт - эпические дятлы, пути вгрузки ДЛЛ обрабатывали до недавних пор абы как. Вгружая сначала длл из текущего пути и только потом - из системных дир. Так что у хаксорской ДЛЛ в шаре - приоритет над системной библой. Буахахахаха :) А то что у них такая дырень до них дошло только недавно. Ага, вражеский код с правами администратора AD может отдуплиться из вражеской DLL на шаре так как возжелает. С кренделями админа. Поскольку он уже под ними залогинен и оно закеширвоано - никаких доп. вопросов никто не задаст.
> Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена.
> безопасность пользователей имеет для нас наивысший приоритет.Честность мелкософта не может не радовать :D
Нормально все. Честность - это выталкивание пользователей в сторону Ubuntu. Все правильно делают.
Ну угнали аккаунт - чего панику сеять - угоните обратно! :)
> Ну угнали аккаунт - чего панику сеять - угоните обратно! :)Мелкософт уже прикрыл дырку. Так что мошенники выигрывают у честных юзеров 1:0 :)
угонщики, как истиные подлецы, меняют основной почтовый адрес. угадаете на какой - угоните обратно
Вот что случается, когда за работу берутся индусы некрософта!
Вопрос в том, как долго в приватных кругах ходила эта уязвимость..
Ёмаё....
/me Пошёл менять e-mail
> /me Пошёл менять e-mailЛучше бы менять мозги, хоть это и сложновато.
Администратор Oracle, прошедший все уровни сертификации, может убить человека SQL-запросом, зная его IP.
Интернет - великая сила! Даже M$ нагнули публикацией инструкций :) Не даром все правительства хотят ограничить свободу людей в инете...Skype временно закрыл возможность восстановления паролей http://www.xakep.ru/post/59627/default.asp
Как всегда, большинство пользователей не думает о своей приватности, а когда их петух, наконец, в одно место клюнет, начинают удивляться: "Как же так?". Это так смешно, что даже грустно.
> Как всегда, большинство пользователей не думает о своей приватности, а когда их
> петух, наконец, в одно место клюнет, начинают удивляться: «Как же так?».
> Это так смешно, что даже грустно.и что *в этом* случае неправильно делал пользователь? мыло своё показывал? а ничего, что это часто нормально и удобно? и что средний человек в здравом уме вряд ли будет предполагать, что сервис *настолько* идиотичен?
если вебкамеру в твоём телефоне *нечаянно вдруг* можно попросить отослать твою фотографию на другой телефон, ты виноват в том, что не разобрал полностью прошивку? а там кроме просто прошивки аппарата есть ещё другие хитрые чипы. виноват в том, что не спилил их и не разобрался полностью, как работают? не думаешь ты о своей приватности, ой, не думаешь…
> и что *в этом* случае неправильно делал пользователь?Использовал Skype, ваш K.O.
> мыло своё показывал? а ничего, что это часто нормально и удобно? и что средний человек в здравом уме вряд ли будет предполагать, что сервис *настолько* идиотичен?
Уже один тот факт, что сервисом владеет MS, позволяет предположить, что сервис *настолько* идиотичен. И поэтому, если уж и давать ему свой e-mail, то уж точно не основной и известный другим людям (то есть, например, можно дать временный).
> если вебкамеру в твоём телефоне *нечаянно вдруг* можно попросить отослать твою фотографию на другой телефон, ты виноват в том, что не разобрал полностью прошивку?
Если бы были доступны телефоны со свободной прошивкой веб-камеры, а я бы всё равно использовал бы с проприетарной, то да, я был бы виноват.
Сейчас доступны свободные альтернативы Skype, но большинство пользователей на них не переходят, продолжая использовать проприетарные сервисы, вроде Skype. Поэтому, я считаю, что пользователи в подобных случаях сами виноваты.
>а там кроме просто прошивки аппарата есть ещё другие хитрые чипы. виноват в том, что не спилил их и не разобрался полностью, как работают? не думаешь ты о своей приватности, ой, не думаешь…
От пользователей не требуется разбираться в том, как работают программы. От них всего то требуется делать выбор с учётом на приватность, и тогда подобных случаев будет гораздо меньше. Именно поэтому они и виноваты в подобном, потому что безответственны к своим личным данным, а не потому что они не разрабатывают ПО.
если бы у бабушки был Ў, она была бы дедушкой. такие дела.
> Сейчас доступны свободные альтернативы Skypeтолько вот связь как из джопы. даже если использовать свободные клиенты;)
inb4: у меня всё работает
ага слышали. знаем.
Страница восстановления пароля нормально открывается
https://login.skype.com/account/password-reset-request
Они уже всё исправили?
"Используйте этот код, чтобы сменить свой пароль на нашем защищенном веб-сайте." ...хахаха! "защищенном"!! АААаАааааАаааа это заговор, они пытаются меня УБИТЬ от смеха!!
> Они уже всё исправили?Может быть. По крайней мере отослав себе на ящик восстановление, я не получил ничего в самом скайпе.
Ждём новости "мы перестали выпускать Windows, потому что безопасность пользователей имеет для нас наивысший приоритет".им самим не смешно?
Я наверное чего-то не так понимаю...Как-то не совсем совместимо это:
"Разработчики Skype были уведомлены о проблеме ещё весной этого года"
с этим:
"безопасность пользователей имеет для нас наивысший приоритет".
Весной исправлять было некому - играл гормон. Летом индусы уехали на родину праздновать последнее лето года и просыпание Ктулху. Осенью просто лениво работать. И вот зимой, когда всё равно как дурак слоняешься по офису, кто-то ОТ СКУКИ залез в багобазу и откопал бородатый баг. И тут понеслось!..... :)