Ознакомьтесь с нашей политикой обработки персональных данных
00:05 

про "взломы"

ArLe
Арлоло, админота,
администратор
и админотавр
99.9% так называемых "взломов" дневников происходят по следующим причинам:

1. Владелец выбирает слишком простой пароль для логина или для почты.
2. Владелец дает свой пароль "друзьям".
3. Пользуясь "общественным" компьютером, владелец не разлогинивается, выходя из дневников.
4. Не имея антивируса и файерволла, владелец тыкает на какие попало ссылки и цепляет троянов, которые воруют его логин и пароль.

0.1% - дневник взламывают инопланетяне, телепатически считывая логин и пароль из мозгов владельца.

Комментарии
2005-01-25 в 13:42 

Адепт фелинотерапии
Уважаемый ArLe , Вы говорите от имени diary_support?

2005-01-25 в 13:49 

и не надейся.
Вы говорите от имени diary_support? отличный вопрос. присоединяюсь к нему.

2005-01-25 в 14:21 

нос
администратор
не все напрасно
ArLe — администратор @дневников. Так что, она все верно говорит.
Нас замучали письмами и воплями: "АААА!!!! Хакеры взломали дневник моей подруги!!! Помогите!!!"

Помогите прежде всего себе сами не влипнуть по халатности.

2005-01-25 в 14:30 

Адепт фелинотерапии
Уважаемые ArLe и нос , то есть, таким образом, существование, обнаружение и использование бреши в ПО "Дневников" ПОЛНОСТЬЮ исключается?

2005-01-25 в 14:35 

GreenInsect
Не бейте мух, они ж как птицы!
Не бывает невзламываемого сайта, бывают плохие хакеры :)

2005-01-25 в 14:40 

нос
администратор
не все напрасно
Ruta Freiberg, нет конечно, никто такой гарантии не даст ))
Дырки могут быть всегда, сколько бы их не вычищали, как в нашем ПО, так и в серверном. Более того, примерно 1-2 раза год их находят (слава богу, пока наши друзья-хакеры) и нам сообщают — мы исправляем. Вероятность злодейства в результате такого взлома гораздо меньше последнего описанного случая:

0.1% - дневник взламывают инопланетяне, телепатически считывая логин и пароль из мозгов владельца.

2005-01-25 в 14:44 

и не надейся.
при всем моем уважении к админам дневников - мне кажется, что вы недооцениваете масштабы проблемы. Банально нарушена теория вероятности: мне предлагается поверить, что 10 (десять!) моих знакомых (не детей, более или менее грамотных в элементарной сетевой безопасности людей, преимущественно ходящих на дневники с работы, где стоят и коммерческие антивирусы, и пароли на чужих машинах никто не хранит!) одновременно нарушают все эти пункты и практически одновременно попадают под действие трояна? одновременно взбунтовавшихся доверенных лиц? посудите сами, это несерьезное утверждение.

прямая ссылка на примеры

только в моем окружении взломы дневников носят НАСТОЛЬКО массовый характер, что это уже не случайность.

2005-01-25 в 14:50 

Адепт фелинотерапии
нос , благодарю за информацию.
Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?

2005-01-25 в 15:51 

нос
администратор
не все напрасно
Бентен, вы можете не верить, но обязаны заметить, что все перечисленные больные так или иначе состояли в компании с YutakaOka и ее ботами. Мы весьма "дооцениваем" масштабы проблемы и видим ее источник. Если болезнь будет прогрессировать, то придется ввести карантин всего круга лиц и провести полную дезинфекцию зараженных участников. С их согласия, разумеется.
Никаких следов взлома здесь не наблюдается. Если бы злоумышленники, решившие уничтожать дневники, получили доступ к паролям, они скорее взяли бы пароли админов и порушили к чертям собачьим весь сайт. Но этого не происходит. Здесь не нарушена теория вероятности, логика или что-нибудь еще?

2005-01-25 в 23:53 

Адепт фелинотерапии
Уважаемый нос, надеюсь, Вам известно, что по той же теории вероятности, между двумя ЛЮБЫМИ людьми максимум семь хопов, если уж употреблять эту терминологию?
Искренне надеюсь, что администрация Дневников действительно видит источник проблемы; кроме того, было бы крайне желательно - если администрация Дневников в чьем бы то ни было лице сочтет это возможным - все же получить прямой односложный ответ на заданный мной в сообщении от <2005-01-25 14:50> вопрос.

2005-01-26 в 00:34 

нос
администратор
не все напрасно
Уважаемая Ruta Freiberg, мне не было известно, что их максимум семь. Впрочем, как и эта терминология. Объясните хотя бы — это хорошо или плохо?

Администрация видит источники проблемы так, как их изложила ArLe в тексте записи.

Теперь ваш вопрос:
Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?
Ответ: Нет, вы понимаете неправильно.

Более того, если вы внимательно прочитаете мой комментарий десятью минутами раньше вашего вопроса (2005-01-25 в 14:40), то поймете, что его бессмысленно было задавать.

Ruta Freiberg, вы имеете что-то нам показать? Доказать? Так выкладывайте же, не тяните кота за хвост!

Вообще, вопросы задавать легко. Давайте я вас тоже спрошу, например:
- Вы можете утверждать, что ваш собственный организм не болен НИ ОДНОЙ из известных, а также НИ ОДНОЙ из доселе неизвестных болезней?
- Можете утверждать, что ваша лучшая подруга (сестра, бабушка, мама, отец, брат,... хоть кто-нибудь) вам НИКОГДА не врет?
- Можете утверждать наверняка, что вы сумеете сделать любое задание из вашей любимой области? А какое вы не сумеете сделать, если от этого будет зависеть жизнь родного человека?
- Можете утверждать, что все ПО на вашем компьютере, созданное не какими-то программистами из захолустья, а ведущими мировыми производителями, не имеет дыр?
и т.п.

Вы мало знаете о себе наверняка. Как же вы живете?
Вот так и мы.
Живем.

2005-01-26 в 00:47 

и не надейся.
нос что все перечисленные больные так или иначе состояли в компании с YutakaOka и ее ботами - это самоочевидно, и что с того? вы пытаетесь сказать, что у них у всех одинаковый троян или одинаково подлые доверенные лица? или может, что пароль у всей компании одинаковый на всех? Что злоумышленник гадит конкретной компании и так очевидно, прискорбно, что он МОЖЕТ так легко делать это при помощи дневников. Насчет ронять всю базу - не смешно. банально - ЗАЧЕМ?

вы имеете что-то нам показать? я имею. вот здесь пользователь geoid признается, что последний из 10 случаев взлома - на его совести. Спросите его как это делается.

2005-01-26 в 00:53 

и не надейся.
нос кстати, как сочетается Ваше заявление
Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?
Ответ: Нет, вы понимаете неправильно.

- с исходным в этой теме постом, явно выражающим мысль, что вариантов взлома два - небрежность пользователей или инопланетяне? Довольно оскорбительный для всех пострадавших пост, хочу заметить.

2005-01-26 в 01:16 

нос
администратор
не все напрасно
Уважаемый Бентен, там по ссылке нигде не сказано, что он проник в нашу БД паролей. А понятно лишь, что ему каким-то образом достался пароль одного юзера Драга. Этого мало, чтобы обвинять нас в дырявости ПО.
Я написал пользователю geoid письмо. Посмотрим, ответит ли он и что именно.

Если эта запись оскорбительна для пострадавших, значит они так и не верят в то, что сами виноваты. Тем хуже для них, потому что ничему не научатся.

2005-01-26 в 02:50 

=^Мягкие лапки, а в лапках царапки^=
например у вас есть брешь какая-то которая позволяет делать записи от произвольного времени (т.е дату и время можешь любую сделать)
так мне сказали*)
сама я кошка не разумная,и не женское это дело лезть в такие дебри,но она есть*)

2005-01-26 в 09:27 

и не надейся.
нос Если эта запись оскорбительна для пострадавших, значит они так и не верят в то, что сами виноваты. Тем хуже для них, потому что ничему не научатся - спасибо, позиция администрации мне более чем понятна.

2005-01-26 в 10:03 

Адепт фелинотерапии
Уважаемый нос , поясняю свою мысль и суть моего вопроса:
если хоть один дневник пострадал вследствии уязвимости ПО Дневников, то первое сообщение в этой теме от г-жи ArLe не имеет права на существование в том виде, в котором оно высказано.
И - соглашусь с Бентеном - оно, по меньшей мере, неуважительно.

Касательно принадлежности к "ботам" пользователя YutakaOka - дело в том, что любой пользователь Дневников, таким образом, соприкасается с другим любым пользователем максимум через цепочку семерых общих знакомых. Какая степень удаленности от "опасного" пользователя YutakaOka требуется, в таком случае, для непричисления к "ботам"? Кстати, мне не совсем ясен контекст использования термина "бот" - насколько я понимаю, этим словом обычно называется виртуальная сущность, дополняющая / дублирующая оригинал; в этом случае, использование его в Вашей реплике от <2005-01-25 15:51> по меньшей мере некорректно. Пострадавшие дневники заведомо не принадлежат одному человеку, ручаюсь Вам за это.

Касательно доказательств: нос, Вы официально и от лица администрации Дневников разрешаете мне нарушить нормы пользования Сетью с целью демонстрации уязвимости ПО Дневников? Впрочем, насколько я вижу, в Правилах Дневников абсолютно ничего не сказано о мерах пресечения по отношению к хакерам - согласно правилам Дневников, Администрация пресекает только распространение спама и размещение провокационных / неэтических материалов. Такое отношение к существующей ситуации кажется мне странным, если не сказать - неоправданно самонадеянным, особенно учитывая заявление г-жи ArLe.
Да, я понимаю, что Дневники предоставляют в своем уникальный и бесплатный сервис - поэтому требовать каких-либо гарантий бессмысленно; но, как мне кажется, пользователи Дневников все-таки вправе рассчитывать на адекватную и корректную реакцию Администрации на огорчающие "дневничан" события, отследить и повлиять на которые сами они не в силах.

Интересующиеся соглашением о нормах пользования Сетью могут увидеть его тут

2005-01-26 в 12:01 

нос
администратор
не все напрасно
Уважаемая Ruta Freiberg, к сожалению, мне некогда долго говорить. Администрация пресекает не только спам и оскорбления, она так же защищает свой ресурс и предупреждает взломы базы данных, дос-атаки и прочее варварство.

Если вы нашли дыру в нашем ПО, так скажите об этом или взловайте. Вам что требуется на это мое разрешение? Если вас остановит пункт в Правилах о том, что нельзя ломать дневники, мы внесем его в Правила.
Я не понимаю какие особые разрешения вы хотите от меня получить. Есть нормы пользования Сетью, о которых вы написали, есть ваши воспитание, совесть, честь и есть Правила сайта — руководствуйтесь ими и оставьте меня в покое.

2005-01-26 в 12:23 

и не надейся.
ну что, господа админы... http://www.diary.ru/~ohuhol

2005-01-26 в 12:35 

нос
администратор
не все напрасно
А что это значит?
Выражайтесь яснее, господин Бентен.

2005-01-26 в 13:11 

и не надейся.
нос попробуйте пройти по ссылке, указанной выше - с примерами взлома. вчера эта ссылка работала. сейчас этот дневник удален.
а http://www.diary.ru/~gaallo ТОЛЬКО ЧТО превращен в сообщество. Пользователь gaallo .... ммм.... бурно выражается. Если не сложно - пока еще не случилось непоправимого, верните все обратно. Нелзя дожидаться комментов, как я понимаю.

2005-01-26 в 15:32 

нос
администратор
не все напрасно
Бентен, сегодня ссылка на ~ohuhol не работает, зачем ее приводить было, непонятно, если я ничего не могу там посмотреть.

Дневник gaallo тоже "взломали" или просто подобрали/узнали пароль? Откуда сведения, что его именно взломали? Почитайте на злобу дня запись у Эла: http://diary.ru/~el/?comments&postid=3685468.

Я не стану приводить нашу статистику, но поверьте, что вы бы перестали думать о людях, как о существах разумных, если бы вы увидели длинные списки дневниковых паролей, вроде "123", "11111", "666", таких, которые совпадают логином или именем домашнего каталога, номером аськи или сотового телефона, мылом, со словами, которые можно легко ассоциировать с автором после недолгого прочтения дневника, либо будучи знакомым с ним в жизни. Такая же ситуация с паролями и контрольными вопросами на зарегистрированной почте, либо на резервной почте, которая служит для восстановлления пароля там. Кроме того, многие не разлогиниваются при выходе из дневников в на компьютерах общего пользования.

Я не знаю что произошло с gaallo и другими, но нет никаких доказательств, что его дневник был "взломан" путем проникновения в базу данных, поэтому все обвинения не принимаются. Покажите дыру в ПО или взломайте дневник, на который я укажу, тогда мы будем извиняться, а пока не за что. Я не понимаю в чем претензии к нам?

2005-01-26 в 15:58 

и не надейся.
нос
... господи боже. кому нужны ваши извинения? вы несколько не в том направлении думаете. Несколько мессаг назад вы заявили, что видите локализацию проблемы вокруг конкретной компании, и будете за этим следить - и вот уже сегодня случился новый взлом. МЕРЫ можно принять?!

2005-01-26 в 16:56 

Адепт фелинотерапии
Покажите дыру в ПО или взломайте дневник, на который я укажу, тогда мы будем извиняться, а пока не за что. Я не понимаю в чем претензии к нам?

Предложение принимается. Полагаю, обнаружив уязвимости в ПО своими силами, мы еще и окажем Вам услугу, не так ли? :)
Пожалуйста, подготовьте список "тестовых" дневников.

2005-01-26 в 17:00 

и не надейся.
Ruta Freiberg Пожалуйста, подготовьте список "тестовых" дневников. - не надо. это не так честно - изменениям в конкретных указанных местах они могут сопротивляться.

2005-01-26 в 17:14 

мой дневник был без моего ведома превращён в сообщество. пароли я по стенам не вешаю, фаервол на рабочей машине отлажен. доказать дырявость дневникового ПО я не могу - не имею на то специальных знаний, что не мешает недоумевать по поводу того, что человек, уже много чего наломавший, продолжает это делать при полном бездействии со стороны админов и техпомощи
про человека известно - он из Мск или Питера, висит в частности на Вестколе, бывает в сети с 21-22 часов по 01-02, страдает отдельной любовью к группе успешно выступающих косплееров. кроме @дневников ломал аськи и почту, пытался ломать жж-шные дневники

мне интересно - администрация дневников собирается хоть что-то предпринять (то есть, имеет смысл подождать, быть может вы сможете локализовать этого человека, а пострадавшие выразят ему свои впечатления) или отсюда можно смело уходить, рассказывая всем про инопланетян?

2005-01-26 в 17:19 

:: you will never be alone ::
Ребят, я понимаю, я тут слегка не к месту, но:
- Бен-бен, господин Нос чётко сказал - вопросы "интелектуальных" взломов его волнуют мало. Всё что не касаесть ПО диареи - вне его юрисдикции. Так как доказательств того что этот "гигант мысли" - ваш хацкер, пролез в Базу, нету - с администрации взятки гладки. Ловить эту вошь никто не будет, хотя бы потому, что она дестуктивит относительно (!) локально и большинству дневников ничего не угрожает.
- Гсподин Нос, в ваших ли силах вернуть подневольному Сообществу Gaallo первозданную дневниковость? Если да, то возможно стоит это сделать? А потом Гэл сменит пароли, мылы, аськи и прочее и мы посмотрим на сколько вы правы относительно полной законопачености дыр в БД. Просто эксперимент.
И потом, ну я понимаю, возиться с юзверями вам немного не по статусу, ловить этого деструктора - вообще не понятно как, но восстановить то что он уже сломал наверное можно?

- Господа и дамы принимающие участие в дискуссии - я осмелюсь напомнить, что действо происходит в дневнике леди Арле. в ЛИЧНОМ дневнике леди Арле. Да, она администратор,но она тоже человек. Может стоит переехать на Дайриспирит? А-то как-то не прилично вроде...

Не люблю подобные разборки. Удручают. Славные люди становятся похожи на чёрте-что.

2005-01-26 в 17:25 

2Каи. - насколько я понимаю по названию diary_support, это техподдержка. насчёт "гениев" - или подбор, или троян, отлавливающий все пароли с клавы. тут не надо быть гением... а возиться да, видимо неохота... не люблю жж, но альтернатив пока не вижу

2005-01-26 в 17:35 

:: you will never be alone ::
Ой... ну да, с "личным" это я загнула.
Спать надо больше.
но в любом случае... вот.

2005-01-26 в 19:04 

нос
администратор
не все напрасно
gaallo, ставший сообществом, после просьбы Бентена в 13:11 в этой теме, я закрыл ваш дневник. Кто и зачем его снова открыл? Во всяком случае, теперь все гораздо сложнее и мало шансов на возврат в статус дневника.

Вы правильно заметили: diary_support — это сообщество техподдержки для всех зарегистрированных пользователей. Спасибо за наконец-то прозвучавшие слова со здравым смыслом: "насчёт "гениев" - или подбор, или троян, отлавливающий все пароли с клавы. Тут не надо быть гением" — гора с плеч, что хоть вы это понимаете. Но скорее не пароли с клавы, а Cookies или код сессии.

Бентен, вы спрашиваете, можно ли принять меры. Видите ли, получив код сессии зарегистрированного пользователя, или куку, или пароль, любой взломщик не будет отличим от хозяина дневника НИ ПО КАКИМ ПРИЗНАКАМ. Как мы можем заранее пресечь его действия, если для нас он законный пользователь своего дневника? Пресекать надо раньше, на вашей стороне, пользовательской. Например, не нажимать на все ссылки, которые встречаете в дневниках или на других сайтах. Единственный вариант защиты в такой ситуации — включить опцию "работать с одного IP-адреса". Но ею не все смогут воспользоваться.

Давйте собирать информацию, что ли.
Откуда известно, что "он из Мск или Питера, висит в частности на Вестколе, бывает в сети с 21-22 часов по 01-02, страдает отдельной любовью к группе успешно выступающих косплееров. кроме @дневников ломал аськи и почту, пытался ломать жж-шные дневники" Что еще известно? Что такое "Весткол"?

Москва и Питер — это больше половины посетителей дневников — мало что дает.

2005-01-26 в 19:13 

и не надейся.
нос Например, не нажимать на все ссылки, которые встречаете в дневниках или на других сайтах. ну... ПОЖАЛУЙСТА! немножко больше уважения к своим пользователем - вы случайно не поторопились всех оптом записать в ламеры?!

2005-01-26 в 19:25 

нос
администратор
не все напрасно
Бентен, вы только о себе говорите? Ваш дневник ведь и не вскрывали, кажется. А можете ли вы поручиться за всех тех, кто пострадал?

2005-01-26 в 19:41 

2нос - .большое.спасибо. не думаю, что вам интересно, сколько я лет в сети, как часто я меняю пароли, какой на работе антивирус и как настроен фаервол - но мне, как владельцу дневника, который-вроде-как-не-ломали-но-пользоваться-которым-теперь-нельзя, очень приятно, что я автоматически для вас попадаю в круг ламмеров. мне от этого ни жарко, ни холодно - бесит то, что человек, прошедшийся так по дневнику, сделает это ещё раз и ещё раз. не пока его не отловят, а пока ему не надоест

имхо, премного-пока-ещё-уважаемый нос, администрация @дневников могла бы хотя бы сформулировать, что она может в данном случае предпринять. пока же складывается впечатление, что вы готовы лишь валить всю вину на пострадавших. не то чтобы помочь вычислить этого весёлого урода

попутно вопрос - если бы дневники уже были платными, вы что-нибудь стали бы делать? или тоже записали бы меня в ламмеры? я бы с удовольствием перешёл на платные отношения с дненвиками - но сейчас, боюсь, я подумаю куда бы уйти. я понимаю, что это вопрос из серии "а если бы у бабушки был х*й...", но чисто теоретически? :)

2005-01-26 в 20:03 

нос
администратор
не все напрасно
Вы не обижайтесь, gaallo, в жизни всякое бывает.
В автомобильных гибнут не только ламеры, но и водители с 25-летним стажем, причем по и своей вине тоже. Я, так же как и вы, могу нажать на опасную ссылку и в результате потерять свой дневник.
Платные аккаунты будут отличаться расширенными возможностями, но не степенью защиты. Если вы можете преджложить способ защиты или вычисления ненавистного вам взломщика, то от этого будет больше пользы, чем от обид на то, что администрация не хочет вам помочь. Она хочет, но пока не знает как.

2005-01-26 в 20:12 

2нос - администрация хочет, но пока не знает как. так бы и сказали, блин... как - я не знаю, я прости Господи, художник, а не программер. насчёт "не тех ссылок" - думаю, эта вероятность отпадает, благо гробятся дневники узкого круга лиц, благо у всех этих лиц в воскресенье фестиваль. можно, конечно, подождать до понедельники и посмотреть, не отвалит ли хакер с чувством выполненного долга...

а, есть идея насчёт "что сделать". быть может, технически возможно такое - взять архив дневника, завести новый дневник (или удалить и завести заново под прежним именем), и закачать архив туда?

2005-01-26 в 21:10 

Casual
Searching for something to satisfy my soul Is Darkness what I find in the whole
нос - Я конечно дико извиняюсь, но неужели у вас на серваке не ведутся логи доступа к дневникам, хотя-бы за н-цать дней!!!. Начните анализ !!! Мож чего полезного выловите )))

2005-01-27 в 00:20 

и не надейся.
но неужели у вас на серваке не ведутся логи доступа к дневникам, хотя-бы за н-цать дней!!!. Начните анализ !!! Мож чего полезного выловите ))) ППКС

2005-01-27 в 01:13 

GreenInsect
Не бейте мух, они ж как птицы!
Какой ужас...
Кругом сплошные хакеры...

2005-01-27 в 02:05 

нос
администратор
не все напрасно
Бентен, я писал юзеру geoid, как вы помните.
Вот та часть его ответа, которая касается нашего разговора здесь:

"Действительно, ни о каком взломе речи идти не может, если все перевести на события реальной жизни - я просто вошел через дверь, которую прикрыли, оставив ключ в скважине ... так как в дневнике находились материалы, касающиеся МЕНЯ ЛИЧНО ... тем более я не имел злого умысла удалить дневник пользователя Драга.

Все заключено в использовании данных cookies, которые были считаны с локальной машины."



2005-01-27 в 10:09 

и не надейся.
нос вы только о себе говорите? Ваш дневник ведь и не вскрывали, кажется. А можете ли вы поручиться за всех тех, кто пострадал? - а что, мне обязательно надо поручиться ЗА ВСЕХ? я могу поручиться как минимум за Оку, Gaallo и владельцев сообщества Аниматрикс - я их не первый день лично знаю. Собственно, не знал бы - и в историю бы эту не полез.
поставим вопрос так - если к сожалению имеется ГАРАНТИЯ, что пароли на машине не хранятся и они нетривиальны, антивирус есть и обновляется, посторонние к машине (по причине ее нахождения либо дома, либо в офисе, куда НЕТ доступа посторонним!) не подходят - какие еще технические дырки затыкать?

2005-01-27 в 11:07 

Арлоло, админота,
администратор
и админотавр
тьфу, забыла подписаться на дискуссию ))

Поскольку консенсуса тут не видать, давайте договоримся, что мы (дневники) не банк, и поэтому ответственность за ваши вклады свыше того, что мы в состоянии сделать, не несем. Поэтому заводя дневник (покупая машину, путевку на Канары, заводя себе рыбок) вы осознаете, что 100% гарантий того, что инопланетяне не украдут ваш пароль (ваша машина не взроврется, самолет не упадет и рыбка неожиданно не сдохнет) в природе не существует. Следовательно, действуете на свой страх и риск.

2005-01-27 в 12:18 

Адепт фелинотерапии
Уважаемая ArLe, и что в данном случае в состоянии сделать - и делает - администрация?
Только поставить пользователей Дневников в известность (как это было сделано первым сообщением в этой дискуссии) о том, что все, воспользовавшиеся сервисом Дневников и пострадавшие по причине, которую администрация (согласно сообщению от <2005-01-26 20:03> )установить не в силах, олухи по определению?

2005-01-27 в 13:39 

2ArLe - спасибо, все уже поняли, что по вашей имхе пострадавшие сами виноваты. вынужден спросить ещё раз - ЛИЧНО ВЫ пути решения проблемы видите, кроме валения всего на наши головы? я понимаю, что это легче всего - но не компрометируйте дневниковую техпомощь настолько. если идей нет - так и скажите, у носа на это сил хватило, за что ему респект

псы. для того, чтоб рыбы не сдохли - за ними надо ухаживать. что является эквивалентом этой заботы в отношении @дневника?

2005-01-27 в 15:18 

Re@nimator
администратор
автор множества покойников
ОК
Мы готовы выслушать идеи. Предлагайте... В ПО @Дневников, наверняка, еще есть дыры (ибо они неизбежно есть в любом ПО), так что мы с радостью выслушаем коллег-специалистов, желающих помочь сервису.
А позиция "Сам дурак" никогда не являлась и не будет являться позицией @дминистрации Diary.Ru. Речь шла о большинстве жалоб на "взломы", которые происходят из-за неосторожности владельцев дневников. Но мы прекрасно понимаем, что есть и другие случаи.

2005-01-27 в 17:07 

С капитаном Зараки время летит незаметно
> Следовательно, действуете на свой страх и риск.
*задумчиво*
Жила-была девочка, сама виновата (с)

2005-01-27 в 17:27 

2Re@nimator - а, есть идея насчёт "что сделать". быть может, технически возможно такое - взять архив дневника, завести новый дневник (или удалить и завести заново под прежним именем), и закачать архив туда?

других идей пока нет...

2005-01-27 в 17:30 

Re@nimator
администратор
автор множества покойников
gaallo, я о дырах в Дневниках говорил. А Вы о восстановлении своего, насколько я понял?

2005-01-28 в 16:10 

пьявочка-русалочка
Помню лет много назад и меня взломали. Чел был не ламер и сделал всё оченно грамотно.
А тут вот сижу два года, пижжу что попало, а никто никогда и ни-ни, даже пальцем.
Странно, что плахой и нехороший хаккер-шмакер не взламывает дневники известных людей, а выступает по серым мышам, которые хотят стать бооольшими серыми...ээээ...бандерлогами, используя тактику пострадавшего при взломе.

2005-01-28 в 16:25 

пр. Иап
Риварес Хахаха, это я тебя сломал! Я, аццкий хакир с армией сотонинских троянов! Вот сидела ты два года, пиздела что попало, а теперь пришло время отвечать!
Я снова поломаю твой дневник, испохаблю все записи и сменю дизайн на готичный!
Миня никто не остановит! Я щелкаю пароли, как орехи! Я без мыла пролезу в любую дырку и украду ваши кукисы-шмукисы!
Каждый ламер будет плакать горючими слезами после моего визита.

И вам не поможет даже чтение книжек по "Информационной безопасности" и знание faq по этой теме.
Я кончил.

2005-01-28 в 16:30 

пьявочка-русалочка
пр. Иап Дыбил, первая строка была про целку.
Изыди, не трогай мой дневничечиччииичичк, я тебе за это твой засру. 100 атататов.

2005-01-28 в 16:33 

пр. Иап
Риварес Про целку? *задумчиво чешет задницу* А кого же тогда я сломал? А... Ни важно. Она ужо наверное боицца в интернет выйти!
А тибе я днивничочек все=равно поломаечкаю, потомучтосики ты меня дурачочком хочюнькаешь выставитюшечки.
Я в домике.

2005-01-28 в 16:38 

пьявочка-русалочка
пр. Иап давай при взломе ты будешь оставлять фирменный знак? Типа Зорро, вжжжик-вжжжик-вжжжик! Сабляй, на юзвериных параноидальных московых пещерках?

2005-01-28 в 16:43 

пр. Иап
Да, да! Я буду высасывать мозг, блевать на мундир и гадить в штаны пользователя!
А на кухонном полу выкладывать сосисками сотонинское слово "Рекогносцировка"!

Приходите и вы на "Ламерские недели в Макдональдс".

2005-01-28 в 16:49 

пьявочка-русалочка
Это заговор! Великий страшный заговор против анимэшных культур поведения в публично-массовых местах и соляно-отложных слоях.

пр. Иап, я вызываю вас на дуель. На блядорубах. Место встречи изменить нельзя! За вам выбор поля боя!

2005-01-28 в 16:55 

Я с большой степенью вероятности могу утверждать, что на данный момент ПО дневников довольно хорошо защищено от атак для кражи паролей. Тем более от таких, которые может выполнить даже продвинутый пользователь. За два года мне известно всего два случая реального взлома по причине недоработки ПО. В остальных случаях взлома пользователи пренебрегали элементарными правилами:

1) сложный пароль
2) никому не говорить пароль
3) разлогиниваться при уходе с дневников
4) быть готовым к тому, что если пошёл по неизвестной ссылке, можешь словить трояна.

>>оставим вопрос так - если к сожалению имеется ГАРАНТИЯ, что пароли на машине не хранятся и они нетривиальны, антивирус есть и обновляется, посторонние к машине (по причине ее нахождения либо дома, либо в офисе, куда НЕТ доступа посторонним!) не подходят - какие еще технические дырки затыкать?

Угу. Все так говорят. У всех гарантия. А потом оказывается, что кто-то не разлогинился (см. пример geoid), что кто-то пошёл на домашний сайт злого пользователя и поймал трояна и т.п. Антивирус вообще не препятствие - любому желающему я могу прислать мной же модифицированную версию трояна и ни один самый новый антивирус не пикнет. Потому что он его не узнает.

Ваше право мне не поверить. Но я как раз не художник, я программист. И поверьте, ПО - очень взломоустойчивое. Проверяю регулярно.

2005-01-28 в 16:58 

пьявочка-русалочка
Tzota их бинс не программеры их бины анимешнес, а там заговоры, массонские. Кстати, радось глазёл наших, как поживают мои белые носочки и ваш конь, уважаемый Херр Одэссеус?

2005-01-28 в 17:01 

Елена, сволочь Троянская
Сводник-коммерциалист
Кто-то тут меня всуе вспоминал, да?

2005-01-28 в 17:04 

пр. Иап
Риварес Драться будем в Макдональдсе! Кроме блядоруба у меня будет секретное оружие Горячий Пирожок С Чесночной Начинкой!!!
Йо-хо-хо, моя Рекогносцировка войдет во все учебники по Стратегии, Маркетингу и Урологическим Инфекциям!

Tzota Папа, с кем ты сейчас разговаривал?

2005-01-28 в 17:06 

Одаренный смертный [Да что ж вы так себя не бережете!!]
Может, хватит помоями-то поливать народ. Да, они частью анимешники. Да, им ломают дневники неизвестно каким способом.
Это не повод называть их идотами, лезущими в сеть без антивируса и файервола.
Лучше бы засекли время, когда пользователь последний раз видел дневник "живым" - да вычислили айпи того, кто сделал дневник сообщестом или удалил. Думаю, пользователи сами бы придумали, что с этим айпишником делать.

2005-01-28 в 17:06 

пьявочка-русалочка
пр. Иап Папа разговаривал с Высшим Разумом. Не мешай ему на умняке дуться.

2005-01-28 в 17:07 

Кхе-кхе, вот все вы тут глупости говорите. Сломали, проломили, украли.
Пользуйтесь замечательными Антигемороидальными Свечами доктора Штиблетова и знать проблем не будете. А в интернет, дети, не ходите. Тут гомосеков много.

2005-01-28 в 17:08 

Герр Одиссей
Herr Одиссей
Риварес Мадам, на улице весна, настроение есть игривое и носочки меняют цвет для большей кокэтливости! Не желаете ль пройтись по дер бульвару?

2005-01-28 в 17:09 

Елена, сволочь Троянская
Сводник-коммерциалист
Ierou а кто их назвал идиотами? Ткните пальчиком, я навещу этого плохого человека добровольно, поменяю ему айпишник, пароль, группу крови и порядковый номер! Стану великой и могучей! Как Берия! А потом уйду на север, к оленям.

2005-01-28 в 17:12 

пьявочка-русалочка
Герр Одиссей ах, у вас ноги, что леденсы по имени чупа-чупы.

Забалуйкин, граф вам бы граф все про жопу б пообщацца.

2005-01-28 в 17:12 

Ierou Ага. Ооочень много тебе даст айпишник, ооочень много. Особенно, например, айпишник человека, выходящего в сеть через модем. Который меняется при каждом реконнекте. И сегодня под этим айпи я, а завтра - ты, потому что покупаем одну и ту же карточку. А во-вторых - айпишнику морду не набьёшь.

В принципе, если тех. средства позволяют, было бы разумным провести хотя бы один акт расследования. Но чтобы потом никто не жаловался, когда окажется, что пользуны опять где-то слажали. И на будущее б запомнили. Потому что так оно и бывает в 99,9%

2005-01-28 в 17:12 

Геолог-анархист
Это не повод называть их идотами, лезущими в сеть без антивируса и файервола.

Человек, который ходит в бордель без презерватива и пеницилина - идиот.
"Уж сколько раз твердили миру..."

2005-01-28 в 17:12 

Одаренный смертный [Да что ж вы так себя не бережете!!]
Елена, сволочь Троянская Можете идти туда сразу. На север, в смысле.

2005-01-28 в 17:15 

Герр Одиссей
Herr Одиссей
Риварес Я красил сам. Ловил фламинго и тёрся о них носками. Теперь они могут и летать. Так что фигурой я Аполлон, а носками - Гермес!

2005-01-28 в 17:18 

Герр Одиссей Видел я, чем вы терлись о фламинго. Теперь бедные птицы присесть на попу не могут!

2005-01-28 в 17:23 

Re@nimator
администратор
автор множества покойников
Мальчики и девочки, а можно Вас вежливо попросить перестать?

2005-01-28 в 17:35 

Re@nimator ...в виде "по 50 комментов в каждой записи дневниковцев нарушителей"? :)

2005-01-28 в 18:48 

пьявочка-русалочка
а потом пришел злой главврач и всем дал пиздупокоительных укольчиков

2005-01-28 в 18:51 

пьявочка-русалочка
Tzota это очень жестокий ататат, суровый ты очень.
Интересно, а если не прекратим, что нам за это будет?

2005-01-28 в 18:57 

Отвечайте нам скорее через гада главврача©


Шо будет, шо будет. Подаст знак фельдшеру, фельдшер вырвет провода. Еретиков отлучат от церкви и вставять клизьму. А ещё все будут говорить - ай-ай-ай, какие дурачки. Это страшно. Страшно.

2005-01-28 в 19:05 

нос
администратор
не все напрасно



2005-01-28 в 19:10 

А у меня и главврач есть! Даже два:


2005-01-29 в 20:33 

Пау-чок
М-да... Вот что значит - выпасть из жизни @дневниковской на пару дней.
Данный пост носит исключительно информативный характер. И, чувствую, я могу пожалеть, что вообще сунулся в эту дискуссию. Просто некоторые фразы вызвали во мне желание прокомментировать их.

нос получив код сессии зарегистрированного пользователя, или куку, или пароль, любой взломщик не будет отличим от хозяина дневника НИ ПО КАКИМ ПРИЗНАКАМ.
Получение cookie или кода сессии, равно как и получение доступ к незакрытой сессии не даёт ещё, слава Богам и администрации, злоумышленнику полной власти над дневником пользователя. По той причине, что по крайней мере перевод дневника в статус сообщества, что и случилось с уважаемым Gaallo, требует ввода пароля при запросе. Неплохо, вообще говоря, было бы защитить подобными проверками также и другие критические моменты, как то: смена логина и адреса дневника.

Единственный вариант защиты в такой ситуации — включить опцию "работать с одного IP-адреса"
Каюсь, умолчал. Дело в том, что когда мне удалось воспользоваться одним недочётом системы, о чём я известил уважаемую администрацию в письме от 29.12.2004 00:31, у по крайней мере одного из пользователей @дневников опция "работать с одного IP-адреса" была включена. Но это не помогло.

Кстати же, раз уж мне вспомнился этот случай, хотелось бы заметить, что и уважаемый Re@nimator также попался в тот раз в поле моего зрения. Иными словами, я смог получить содержимое его cookie. Что по крайней мере давало мне возможность безконтрольно удалять сообщения с его дневника и комментировать от его имени чужие сообщения.
Посему, просил бы в дальнейшем считать меня инопланетянином, поскольку господин Re@nimator имел разумную осторожность не выполнить 4 пункта, приведённые госпожой ArLe.

Tzota Ооочень много тебе даст айпишник, ооочень много.
Из личного и, следует отметить, не самого приятного опыта - да. Много. Если конечно злоумышленник не настолько осторожен, что пользуется прокси-серверами, то IP даёт как минимум провайдера, которым он пользуется, как максимум - место его работы. В дальнейшем же, пользуясь данными логов сего сервера, обращаемся в компанию-провайдер с просьбой дать телефон того, кто выходил с такого-то IP в момент совершения атаки. В случае же с использованием прокси, всё тоже может оказаться разрешимо подобным же образом.

2005-01-30 в 00:29 

>>у по крайней мере одного из пользователей @дневников опция "работать с одного IP-адреса" была включена. Но это не помогло.

У куки есть такой параметр - user_ip... И я сильно подозреваю, что если ты просто добросовестно подменил всё в CookieEditor'е или той же Опере, дык о чём речь. Конечно не помогло. Лично я отправлял всю строчку сворованной куки целиком через AccessDiver и вообще ни с чем ни парился. Был как родной.

И хороший вопрос к программерам, хранится ли в базе сам пароль. Потому что в нормальной защищённой системе в базе хранятся только результат обработки пароля хэш-функцией. И даже если ты получишь доступ к базе, всё равно это не позволит ввести пароль при преобразовании в общество. Так что дело либо в доверенном злоумышленнику паролю, либо в sql-injection, доставшей незашифрованный пароль. Лично я, учитывая специфику компании, у которой произошла вся эта фигня, склоняюсь к первому варианту.

В дальнейшем же, пользуясь данными логов сего сервера, обращаемся в компанию-провайдер с просьбой дать телефон того, кто выходил с такого-то IP в момент совершения атаки.

Ох. Я тоже сталкивался с такой ситуацией в жизни. Во-первых, если IP статический, знание конторы мало что даст. Вычислять злоумышленника среди персонала из 50 человек, например, - удовольствие сомнительное. А во-вторых, любой адекватный провайдер на такую просьбу тебе ответит, что подобную информацию они выдают только по решению суда. И это так и есть. Про анонимный прокси сервер где-нибудь в Бразилии я вообще не говорю.

2005-01-30 в 00:44 

Пау-чок
(Без?)относительно темы. Не нравятся мне в свете сего обсуждения вот эти записи:

http://www.diary.ru/~terr0rist/?com...;postid=3726786
http://www.diary.ru/~rhjean/?commen...;postid=3722680

Подробностей не знаю, выдвигать предположения не хочу просто потому, что сидеть в луже мне не нравится. Буду следить за реакцией хозяев дневников.

Tzota Вычислять злоумышленника среди персонала из 50 человек, например, - удовольствие сомнительное
Зато потом можно будет получить истиное удавлетворение в процессе доказательства ему, что он был не прав.

любой адекватный провайдер на такую просьбу тебе ответит
Не буду спорить. Не могу привести весомые доводы, опровергающие твоё высказывание.

2005-01-30 в 01:17 

Light Air
13'th Child
Насчет первой ссылки ничего не знаю и не скажу, а вот по поводу второй, ведущей на дневник Vero.... Я могу и ошибаться, но в данном случае, как мне кажется, речи о взломах не идет. Девочка, написавшая запись в этом дневнике (называющая себя Кисой) находится и в избранном, и в пч у автора этого дневника, а в этой их "компашке", состоящей из этой самой девочки (16 лет ей. Блин, ну какой из нее хакер?)) и ее "приближенных" весьма своеобразные развлечения. Обойдусь без подробностей, но пароль она, скорее всего, получила если не от самого автора дневника, то от человека, которому дал пароль сам автор)) То бишь тут имеет место второй пункт этого поста))
2. Владелец дает свой пароль "друзьям".

2005-01-30 в 20:56 

Пау-чок
Light Air Да, каюсь, поспешил. Скорее всего там действительно не идёт речь о взломе. Приношу свои извинения за подогревание паники...

2005-01-31 в 09:24 

Диарея
я хочу тебя...
Вы будете смеятся, но http://www.diary.ru/~seguchi/
Звали его Ho-ri и дневник его не был сообществом.

2005-01-31 в 10:44 

Southwest
... в утесах спятил, постоянно тело пряча (c)
А адрес http://www.diary.ru/~seguchi/ принадлежал уже упоминаемому здесь сообществу "Красная стрела". Осталось их название, их оформление - и дневник Ho-ri вместо их записей.

2005-01-31 в 11:00 

Диарея, Southwest то есть в оболочку "Красной стрелы" влилось содержание дневника Ho-ri? Забавный случай. Но это ни хрена не хакерская атака. Потому что даже знание чужого пароля не даёт возможности вливать содержимое одного дневника в оболочку другого :) С большой вероятностью подозреваю, что в какой-то момент из-за сбоя произошло рассогласование данных в базе. А что сейчас с дневником самого Ho-ri? По какому адресу он находился?

2005-01-31 в 11:42 

Southwest
... в утесах спятил, постоянно тело пряча (c)

А что сейчас с дневником самого Ho-ri? По какому адресу он находился?
Увы, не знаю адреса, не могу проверить.
Насколько я понимаю, подписанные на дневник Ho-ri получили уведомление следующего содержания:Пользователь Red Arrow удалил ваш логин из списка своих постоянных читателей.
Соответственно, его логин удален из списка ваших Избранных дневников. Если вы хотите снова добавить его дневник в Избранное, сделайте это обычным способом

Такие глюки бывают?

2005-01-31 в 12:28 

Ничего, как-нибудь впоследствии я им тоже не пригожусь
Southwest Дневник Ho-ri больше не существует. Проверяла.

Я очень прошу администрацию разобраться в том, что происходит.
Взломы продолжаются, исчезнувшие дневники принадлежат совершенно разным людям, живущим в разных городах. Вести дневник становится просто опасным.

2005-01-31 в 12:38 

Арлоло, админота,
администратор
и админотавр
Southwest, оно, наверное, сменило ник.


Лукреция, и не говори даже! третий год уже от страха помираю ))

2005-01-31 в 12:43 

Ничего, как-нибудь впоследствии я им тоже не пригожусь
ArLe На ник сообщества "Красная стрела"???

2005-01-31 в 12:45 

Southwest
... в утесах спятил, постоянно тело пряча (c)
ArLe "Оно", вообще-то, было в поезде. И адрес тоже сменило - на уже существующий? Это не наезд, это попытка разобраться.

2005-01-31 в 12:55 

и не надейся.
ArLe Southwest, оно, наверное, сменило ник.
(терпеливо) Хори не менял ник. Речь идет о нашем хорошем друге, и Лукреция прекрасно представляет себе о чем и ком говорит. Как я уже говорил выше, похоже вы действительно совершенно не представляете себе масштабов проблемы. И не способны сделать большего, чем дискредитировать администрацию дневников своими потугами на язвительность. Еще десяток взломанных дневников спустя вы по-прежнему будете говорить о тривиальных паролях, троянах и инопланетянах?
чертовски обидно, что одноврменно с тем, что по интерфейсу diary однозначно являются лучшим из существующих в рунете блогов, отдельные представители их администрации являют собой истинный образчик совдеповского хама.

2005-01-31 в 13:32 

Пау-чок
Tzota, ArLe, Лукреция, Southwest
Дальнейшее - лишь предположения.
Учитывая, что написанные ранее от имени Ho-ri комментарии нынче значатся за пользователем Red Arrow (пример тут: http://www.diary.ru/~Marimai/?comme...;postid=3506448), вероятнее всего всё-таки произошёл несанкционированный доступ, а не сбой в базе... Дневник сообщества "Красная стрела" был каким-то образом удалён вместе с учётной записью. У Ho-ri же просто поменяли дизайн, никнейм и адрес. По той причине, что адрес и логин можно изменить лишь раз в тридцать дней, данную версию несложно проверить. Однако много проще её можно проверить по логам сего сервиса. Надеюсь, в них записываются все манипуляции с аккаунтами.
Повторюсь, это всего лишь предположение. Надеюсь, уважаемые администраторы смогут подтвердить либо опровергнуть его.

2005-01-31 в 13:32 

пьявочка-русалочка
Бентен не нравится администрация - смени сайт. Кому ты тут нужен, кроме как своему ущербному самолюбию.
Пиздите, пиздите. Кто вас тут держит всей толпой? Никто вам ничего не должен. Не нравится - есть куча других сайтов с дневниками есть. Идите туда и не зайобуйте администрацию своей паранойей и мнимой важностью.
Ах, простите меня за мой плохой французский, кстати.

ArLe Хамка. Мне за тебя не стыдно.

2005-01-31 в 13:37 

и не надейся.
Риварес не мой уровень дискуссии.

2005-01-31 в 13:40 

Геолог-анархист
Риварес не мой уровень дискуссии.
попробуй целиком матерно сформулировать. и начни фразу с "ты, бля". может, прокатит тогда дискуссия?

2005-01-31 в 13:43 

[вопрос снят]

>>вы по-прежнему будете говорить о тривиальных паролях, троянах и инопланетянах?

Ох, вы бы только знали, какое количество людей ставит себе пароль "12345"...

>>Взломы продолжаются, исчезнувшие дневники принадлежат совершенно разным людям

Ссылки. Адреса. Примеры. У меня, за 2 года, среди всех моих знакомых был "взломан" только 1 дневник. А всё потому, что его хозяин поставил себе пароль "1".

2005-01-31 в 13:53 

пьявочка-русалочка
баянолог ты что, батенька, меня ж вон вишь как волной прэзрения обдали. Холодно, бля.
Хотя в формулировочках я дааа, это не сопли об высцоких переживаниях, высцоцоных из пальцев, по столу гонять. Или гонять это от другого слова?

Бентен ясен хрен, не твой. Потому как делать из себя мятный леденец трудно. Особенно когда приходят хамы и не замечают его утонченности. Ложут, прощее говорится.

2005-01-31 в 14:05 

Light Air
Еще десяток взломанных дневников спустя вы по-прежнему будете говорить о тривиальных паролях, троянах и инопланетянах?
Может быть, они перестанут об этом говорить, когда начнут "взламывать" не только дневники ваших "друзей", но и других пользователей, с которыми лично вы не знакомы?))
И нефиг на администрацию наезжать))
не нравится администрация - смени сайт.
ппкс, собственно.

2005-01-31 в 14:07 

нос
администратор
не все напрасно
Успокойтесь, пожалуйста, граждане.
Попрошу не материться. Иначе, получается, что администрация допускает такой уровень общения в дневнике поддержки. Это не так.

Бентен прошу вас не грубить администраторам, иначе уже следующий раз может закончится для вас выдворением из дневников. Предупреждаю вас официально. Мы здесь силой никого не удерживаем и грубость терпеть на станем.
"Оно" - имелось ввиду "сообщество", если вы сами не догадались.

Приведите, кстати, список из десятка т.н. "взломов", без эмоций, но с описанием того, что с ними произошло.
Вы не можете утверждать, что это были именно взломы, в которых виноваты разработчики сайта, в традиционном понимании взлома: проникновение в базу данных и получение поступа к регистрационным данным пользователей.
Пока мы видим лишь то, что несколько дневников были превращены в сообщества, причем, среди хозяев "превращенных" нет ни одного человека, которого мы знали бы лично и потому могли судить о нем лично (а не с его собственных слов), как о грамотном пользователе, который ни в коем случае не мог случае не подвергнуть опасности кражи свои регистрационные данные и Cookies.

Еще раз повторю свой аргумент: гораздо выгоднее взломщику украсть не пароли рядовых пользователей, а пароли админов — тогда им будут доступны и все остальные. Пока этого не произошло.

2005-01-31 в 14:10 

Southwest
... в утесах спятил, постоянно тело пряча (c)
Tzota да были уже примеры, посмотрите выше. Упс, там поменялся адрес. На всякий случай - еще раз, это здесь, где-то в середине: http://www.diary.ru/~redarrow/?comm...;postid=3618960
Целенаправленно долбят определенный круг людей, как это делают - вопрос; проблема, скорее всего, не здесь (на дневниках), но элементарные пароли отпадают сразу. Может ли с этим что-то сделать администрация? Если нет, скажите открытым текстом - нет, помочь не можем ничем.

2005-01-31 в 14:24 

нос
администратор
не все напрасно
Southwest, ну и что там читать? Вот этот перечень YutakaOka?
Особенно интересно ее замечание:
Как видите, началось не с меня, но ко мне прицепились основательно - видимо, из-за моей тупой вредности.
Как видно, да, из-за нее. Ваш друг новый погорелец — Ho-ri тоже косплееровец (знать бы что это такое еще). Поищите сами — кому вы там на хвост наступили и помиритесь с ними.


...
- я (взломали почту, дневник превратили в сообщество, взломали асю; завела новый дневник)
- еще кто-то из знакомых других косплееров, Москва (точно не скажу, кто, но в курсе)
- Асато Хакурь, он же Хиззи (взломали асю), друг "Красной Стрелы", из Питера

...

Нам и за ваши аси-почты тоже отвечать?

На базаре надо держать руки в карманах, а деньги хранить в надежном месте и т.п. — пока вы этого не поймете, деньги у вас будут пропадать.

2005-01-31 в 14:31 

нос
администратор
не все напрасно
Скажу, кстати, что выступившие здесь: баянолог, Tzota, 13'th Child — не просто опытные пользователи, но и сильные программисты. Именно они, изрядно потрудившись, в разное время отыскали дырки в ПО первой и второй версии дневников и указали на них, за что им огромное спасибо. Других дырок, тем более, примитивных, у нас нет. Если найдете, просьба сообщить, будет очень благодарны.


2005-01-31 в 14:34 

Southwest
... в утесах спятил, постоянно тело пряча (c)
нос Понятно, спасибо.

2005-01-31 в 14:47 

и не надейся.
нос прошу вас не грубить администраторам - то есть, насмешки и грубость тут возможны только односторонние? так сказать, не плюй вверх, так? Вы не находите, что если бы администраторы сами тщательно придерживались несколько другого тона по отношению к пострадавшим и участникам этой дискусии, не позиции Высших Существ, насмешливо рекомендующих девАчкам-анимешницам пользоваться фаейрволами и презервативами, а БОЛЕЕ ОФИЦИАЛЬНОГО ТОНА - то и дискуссия была бы другой? Аргументом "админы тоже люди" лучше не пользоваться, это будет очень похоже на то, что люди-то они люди когда дело касается наездов на других, зато когда наехали на них самих, можно сразу вспомнить о своем высоком статусе.

цитирую госпожу Руту: "если хоть один дневник пострадал вследствии уязвимости ПО Дневников, то первое сообщение в этой теме от г-жи ArLe не имеет права на существование в том виде, в котором оно высказано.
И - соглашусь с Бентеном - оно, по меньшей мере, неуважительно"


причем, среди хозяев "превращенных" нет ни одного человека, которого мы знали бы лично и потому могли судить о нем лично (а не с его собственных слов), как о грамотном пользователе- зато ОБРАТНОЕ вы можете предположить с легкостью и даже настаиваете на этом варианте?

Приведите, кстати, список из десятка т.н. "взломов", без эмоций, но с описанием того, что с ними произошло. - ну и какой в этом смысл сейчас, если в ответ на список вы пожали плечами и по-прежнему посоветовали следить за карманами и врагами? Снова ссылаясь на очевидное - что на всех пострадавших охотится некий недоброжелатель, не любящий именно эту компанию?
вычленяя сухой остаток по дневникам (да-да, все с того же списка начиная):
Kai Sagano (закрыли дневник, удалили всех ПЧ; завел новый дневник), - baka, он же Дуо Максвелл (закрыли дневник, удалили всех ПЧ)
сообщество Saiyuki (было закрыто и переименовано; восстановлено админами с потерей всех данных)
Lost Nothing, он же Шуичи (закрыли дневник в Новый Год; восстановил его самостоятельно)
Ангел Осени, он же Тами (закрыли дневник)
Yutaka Oka (дневник превратили в сообщество)
снова Yutaka Oka (удалили записи в новом дневнике)
сообщество "Красной Стрелы" (закрыли и поменяли пароль; восстановлено админами)
закрытое сообщество "Аниматрикс" (закрыли и поменяли пароль; восстановлено админами)
gaallo - дневник превращен в сообщество
Ho-ri - сами уже знаете

11 штук.

2005-01-31 в 15:20 

>> ну и какой в этом смысл сейчас, если в ответ на список вы пожали плечами и по-прежнему посоветовали следить за карманами и врагами?

А какой в этом смысл, если у половины из тех, кто указаны, сломаны почта, замечание о чём ты деликатно вырезал? Взломан ящик на bk.ru, на него получен пароль от дневника, зашли в дневник, набарагозили. При чём тут дневники? Это надо на bk.ru писать, что у них дырявая почта.

Не, я не против того, что в дневниках могут быть дыры. Но ищите их, мать вашу. Ваши стоны народные услышаны ясно. Всё, хватит. Гораздо больше пользы было бы от поиска этих дыр, а не от вот этой охоты на ведьм.

2005-01-31 в 15:35 

и не надейся.
Tzota я не деликатно вырезал, а упомянул, что привожу сухой остаток по дневникам. Ничего, если я поправлю, что почту там ломали не у половины из тех, кто указаны, а только у Yutaka Oka?

2005-01-31 в 16:01 

Бентен Блин. Вот вы запарили, это катастрофа. Я ещё раз повторюсь, на данный момент мне известно немало случаев взлома. После подробного разбора полётов каждый раз оказывалось, что ПО дневников не при чём. Каждый раз лажали пользователи.

Что ты хочешь? Чтобы админы смотрели логи? Обе известные мне дырки в ПО позволяли смотреть дневники так, что сервер не отличал хозяина от взломщика. Потому это и называется взлом, что сервер не различает, кто заходит. Можете искать дыры в ПО - ищите. Вас там вон, дофига и больше. Организуйтесь и вперёд. Это самое полезное, что вы могли бы сделать.

2005-01-31 в 16:34 

Re@nimator
администратор
автор множества покойников
Брэк, дамы и господа.
Повторюсь...Часть случаев несанкционированного доступа к чужим дневникам действительно не может считаться взломом, т.к. вызвана несоблюдением мер разумной предосторожности со стороны пострадавшего.
Однако есть и объективные проблемы на стороне ПО Diary.Ru. Наверняка есть, на то оно и ПО.
Поэтому части из собравшихся тут не стоит считать всех тупыми придурками, которые сами виноваты (@дминистрация, могу вас заверить, никогда так не считала и не считает). С другой стороны, мнение "вы - бездушные и жестокие люди, нифига не думающие о юзерах" тоже вряд ли отражает действительность.
Если кого-то обидело какое-то из высказываний со стороны администрации - приносим лично Вам свои извинения. В свою очередь, расчитываем на адекватное ровное и уважительное отношение со стороны пострадавших, "пострадавших" и тех, кто выступает от их имени.

Предлагаю сойтись на том, что мы все - разумные люди с головным мозгом в голове, и вести дискуссию уже на этом основании. Уважая других.

Всем привет...

2005-01-31 в 17:11 

Southwest
... в утесах спятил, постоянно тело пряча (c)
Re@nimator :hlop: Ни убавить, ни прибавить.

2005-01-31 в 17:30 

Re@nimator Однако есть и объективные проблемы на стороне ПО Diary.Ru. Наверняка есть, на то оно и ПО

"Есть" и "Наверняка есть" - это две большие разницы. И слова здесь ничего не значат. Либо надо находить дырень, либо анализом лога http-сервера показать, что взлома не было. Ну, или был. Вот ты лично сядешь в течение недели по вечерам до 12 парсить grep'ом и awk'ом логи? А призывать к спокойствию может каждый. Меньше слов, больше дела.

2005-01-31 в 17:33 

Re@nimator
администратор
автор множества покойников
Tzota, меньше слов, больше дела. И уважения. Не ко мне, а к остальным здесь собравшимся

2005-01-31 в 17:45 

Re@nimator Давай отвлекаться не на форму подачи материала, а на суть. Больше дела. То что могу делать я - я делаю. И могу сказать, что у вас очень неплохая защита от XSS-атак, чреватых кражей пароля. Теперь твой ход. Обещаешь посмотреть логи и посодействовать разъяснению ситуации?

2005-01-31 в 17:51 

Re@nimator
администратор
автор множества покойников
Tzota, мы не в шахматы играем. И я не программист, к сожалению.
А вот программист и сисадмин посмотрят логи и посодействуют разъяснению ситуации.

2005-01-31 в 18:24 

нос
администратор
не все напрасно
Давайте, теперь будет мой ход, вот он: мы никому не скажем какие у нас тайные дыры в ПО! И тебе, Tzota, тоже, ты и так много знаешь! :)

Мы обещаем заботиться о безопасности сайта изо всех своих сил, разумеется, с помощью друзей @дневников, на которую очень расчитываем.
С теми же, кто считает, что разработчики и администрация сайта им должны что-то уже только за то, что они завели здесь свои дневники, мы постараемся вежливо не общаться, и вместо него будем бить куклу ненавидящего нас пользователя.

2005-01-31 в 18:31 

нос Харашо, не рассказывайте мне про вашы дыры, расскажыте мне лучче свой пароль, мне етого хватит. Присылайте, пажалуста, его на у-майл или на расчётный счёт в сбербанке россии :)

2005-01-31 в 18:37 

Tzota Действительно, смените тон. В конце концов, администраторы никому ничего не обязаны, и тем более - лично вам. Это их сайт, и поэтому давать указания на то, что им надо делать, я думаю, вы не в праве. Как и никто другой.

нос Я солидарен со мнением, что во всех случаях пользователи сами виноваты во "взломе" дневников. Не стоит доверять пароли и выбирать примитивные.

2005-01-31 в 18:39 

нос
администратор
не все напрасно
Возьмите лучше деньгами ))



2005-01-31 в 18:45 

VBoheme Ххе, товарищ, а я ничего от администраторов и не требую. Всестороннего расследования требуют вон те "взломанные товарищи". А я просто хотел бы знать степень компетентности человека, который вот так с лёту говорит, что "есть проблемы с ПО". Почему и спросил - пойдёт он логи смотреть или нет. Не более.

2005-01-31 в 18:51 

нос У вас бумажка ненастоящая, потому что на настоящей бумажке у Аполлона пипиську видно, а на этой - нет. У мене её в магазине не возьмут :(

2005-02-01 в 13:41 

Адепт фелинотерапии
Re@nimator , благодарю Вас за конструктивный и рационализаторский подход :)
Вы абсолютно правы, дискутировать по данному вопросу в том ключе, в котором дискуссия проходит на настоящий момент, нет смысла. Засим - искренне надеюсь, что нам все же удастся либо обнаружить виновника происходящего, либо найти ту брешь в ПО Дневников, в силу присутствия которой стало возможно повреждение и изменение аккаунтов.

2005-05-24 в 03:58 

I WILL ALWAYS BE YOUR BOO ^_^
хорошо,а кака насчёт взломов аккаунтов..
в смысле,мой "друг" просто зашёл в мой комп(перед этим хакнув пароль),а потом и хакнул(каким-то образом)мой аккаунт на дневниках...КАК?
и КАК это предотвратить??? :conf3:
я в абсалютной растеренности..(((
удалила дневник...но ЧТО делать дальше...
что,если я заведу новый,то и Новый он хакнет..
круговорот..\\\\

2005-05-24 в 06:26 

Арлоло, админота,
администратор
и админотавр
Б.У.я.ш.к.и.н., отключите автоматический вход, почаще удаляйте cookie, уходя из дневников жмите кнопку "выход".

2005-05-24 в 09:30 

DDD
мне сказали, что ты меня все еще любишь
Б.У.я.ш.к.и.н., если кто-то получает доступ к вашему компьютеру, неважно, физический или удаленный, а на дневниках вы не разлогинились, то достаточно всего лишь скопировать один текстовый файл из определенного места, чтобы потом при помощи этого файла получить доступ к вашему дневнику.

Если у вас нет актуального антивируса и файервола (межсетевого экрана), то можно при помощи эксплойта (программы, использующей т.н. "дыры" в вашей ОС) или троянской программы получить удаленный доступ к файлам вашего компьютера, в т.ч. и к файлу, отвечающему за авторизацию на дневниках (cookies). Если удаленный доступ к вашей системе будет получен, то не поможет и нажатие кнопки "выход" на дневниках - достаточно просто подождать, когда вы зайдете на сайт и в этот момент слить себе файл, дающий доступ к вашему дневнику - вы ничего даже не заметите.

Вышеописанное не связано с особенностями самих дневников или наличием в них каких-либо уязвимостей - это относится к любой информации, хранящейся на вашем компьютере.

Еще немного о терминологии. Слухи о "хакнутых паролях на комп" сильно преувеличены, гораздо чаще их просто подбирают. Установите сложный пароль на BIOS в своем компьютере - это достаточно надежное средство, в 99% случаев гарантирующее невозможность "хака" - если, конечно, потенциальный взломщик не станет вскрывать корпус компьютера.

Если хочется полной уверенности, в том, что никто, кроме вас, не включит компьютер, то установите УЗНД (устройство защиты от несанкционированного доступа, "электронный замок"), например, "Соболь-PCI" от "Информзащиты" (http://www.infosec.ru) - штука недешевая, но максимально надежная, лично рекомендую.

2005-05-24 в 17:41 

I WILL ALWAYS BE YOUR BOO ^_^
пасиба..))
у меня был,скорее,второй случай(со слитием файла)..\\
ладно..буду осторожна и установлюсе посложнее пароль..))
а ещё..можно вопрос:мне бы хотелось получить архив дневника,но у меня пишет,что NOT FOUND..\\ неужели мне нужно снова восстановить свой дневник,чтобы скачать архив?? :upset:
а потом СНОВА удалять..:nope:
просто я боюсь,что если снова его восстановлю тот человек прочитает ещё больше..\\\
вообщем,в моей ситуации это крайне нежелательно..(

2005-05-24 в 18:59 

Арлоло, админота,
администратор
и админотавр
Б.У.я.ш.к.и.н., по этому поводу напишите мне на юмейл.

2005-05-24 в 19:19 

I WILL ALWAYS BE YOUR BOO ^_^
написала..))
ещё раз ГРОМАДНЕЙШЕЕ,еле удЕрживаемое на руках "СПАСИБО"!!! :goodgirl: :kiss:

2006-08-02 в 19:09 

Уважаемая администрация ... не бейте, пожалуйста, по голове, но...
У меня есть второй дневник, под другим ником, соответственно. И его взломали. Кто взломал - я знаю на 100 процентов.
И что мне можно сделать, чтобы этот человек отстал от млоего дневника?
Помогите, пожалуйста!!!

2006-08-03 в 05:07 

Арлоло, админота,
администратор
и админотавр
Ночная Гостья, с этими вопросами лучше пишите на ю-мейл администрации.

2006-08-18 в 22:59 

ArLe
То есть Вам можно?

2006-08-19 в 02:03 

Арлоло, админота,
администратор
и админотавр
Ночная Гостья, да, или на общий ящик http://www.diary.ru/u-mail/?new&...20администратор!

2006-11-13 в 21:03 

Kalipsa SK
прошу о помощи!
Сегодня в 09 .44 мск. кто-то взломал мой дневник и сделал запись от моего имени для меня..Запись с угрозами физического устранения. Это не может не вызывать опасения у меня. Кто бы не был этот чеовек, он подождал пока я не войду. Но поскольку я не страдаю раздвоением личности, я принимаю эту угрозу - " я уничтожу тебя" всерьез.
Помню, как уважаемые опреаторы многократно просили соблюдать бдительность, менять и усложнять пароли..Знаю, но не прислушалась..Моя вина. Но..Мой дненвик - моя частная территория. Не получилось Я многократно удаляла комментарии с угрозами и оскарблениями в мой адрес.Прошу, если это возможно, выяснить откуда была произведена запись в моем дненвике.Дневники не должны пугать. Но сейчас я боюсь за свою жизнь. Помогите, пожалуйста.

2006-11-13 в 22:33 

Арлоло, админота,
администратор
и админотавр
Kroki Grep, это все не сюда, а на ю-мейл администрации писать надо.

2006-11-14 в 00:29 

Kalipsa SK
ArLe .
А вы думаете я не написала. Получила забавный ответ.Что, де я истеричное создание, и поменяй голубушшка пароли на все, что у тебя есть. Пароль я сменила еще утром.
Просто повадился гость писать гадости.Фигня. Я устроила ловушечку. Только 4 дала право комментировать Один попался. Я пригрозила. В ответ мне сказали, что я "ошиблась в поисках сучки" и меня уничтожат. Я всегда всерьех воспринимаю угрозы. Раз мне не могут помочь админы,решу эту проблему сама. Я устроила новую ловушку - запись. На нее клюнут. А когда придут, я буду знать что делать.
С уважением...

Только почему, Вы думаете, что те, кто к Вам обращаются за помощью - ЛОХИ.

2006-11-14 в 00:29 

нос
администратор
не все напрасно
Надо же было найти эту запись, чтобы сделать комментарий! ))


2011-04-03 в 18:11 

вижу только один уважительный повод для взлома:если владелец тебя сильно обидел

2011-04-03 в 18:45 

DDD
мне сказали, что ты меня все еще любишь
Сегодня день археолога?

Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Техподдержка

главная