Уважаемый ArLe , Вы говорите от имени diary_support?

Вы говорите от имени diary_support? отличный вопрос. присоединяюсь к нему.

ArLe — администратор @дневников. Так что, она все верно говорит.

Нас замучали письмами и воплями: "АААА!!!! Хакеры взломали дневник моей подруги!!! Помогите!!!"



Помогите прежде всего себе сами не влипнуть по халатности.

Уважаемые ArLe и нос , то есть, таким образом, существование, обнаружение и использование бреши в ПО "Дневников" ПОЛНОСТЬЮ исключается?

Не бывает невзламываемого сайта, бывают плохие хакеры

Ruta Freiberg, нет конечно, никто такой гарантии не даст ))

Дырки могут быть всегда, сколько бы их не вычищали, как в нашем ПО, так и в серверном. Более того, примерно 1-2 раза год их находят (слава богу, пока наши друзья-хакеры) и нам сообщают — мы исправляем. Вероятность злодейства в результате такого взлома гораздо меньше последнего описанного случая:



0.1% - дневник взламывают инопланетяне, телепатически считывая логин и пароль из мозгов владельца.

при всем моем уважении к админам дневников - мне кажется, что вы недооцениваете масштабы проблемы. Банально нарушена теория вероятности: мне предлагается поверить, что 10 (десять!) моих знакомых (не детей, более или менее грамотных в элементарной сетевой безопасности людей, преимущественно ходящих на дневники с работы, где стоят и коммерческие антивирусы, и пароли на чужих машинах никто не хранит!) одновременно нарушают все эти пункты и практически одновременно попадают под действие трояна? одновременно взбунтовавшихся доверенных лиц? посудите сами, это несерьезное утверждение.



прямая ссылка на примеры



только в моем окружении взломы дневников носят НАСТОЛЬКО массовый характер, что это уже не случайность.

нос , благодарю за информацию.

Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?

Бентен, вы можете не верить, но обязаны заметить, что все перечисленные больные так или иначе состояли в компании с YutakaOka и ее ботами. Мы весьма "дооцениваем" масштабы проблемы и видим ее источник. Если болезнь будет прогрессировать, то придется ввести карантин всего круга лиц и провести полную дезинфекцию зараженных участников. С их согласия, разумеется.

Никаких следов взлома здесь не наблюдается. Если бы злоумышленники, решившие уничтожать дневники, получили доступ к паролям, они скорее взяли бы пароли админов и порушили к чертям собачьим весь сайт. Но этого не происходит. Здесь не нарушена теория вероятности, логика или что-нибудь еще?

Уважаемый нос, надеюсь, Вам известно, что по той же теории вероятности, между двумя ЛЮБЫМИ людьми максимум семь хопов, если уж употреблять эту терминологию?

Искренне надеюсь, что администрация Дневников действительно видит источник проблемы; кроме того, было бы крайне желательно - если администрация Дневников в чьем бы то ни было лице сочтет это возможным - все же получить прямой односложный ответ на заданный мной в сообщении от <2005-01-25 14:50> вопрос.

Уважаемая Ruta Freiberg, мне не было известно, что их максимум семь. Впрочем, как и эта терминология. Объясните хотя бы — это хорошо или плохо?



Администрация видит источники проблемы так, как их изложила ArLe в тексте записи.



Теперь ваш вопрос:

Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?

Ответ: Нет, вы понимаете неправильно.



Более того, если вы внимательно прочитаете мой комментарий десятью минутами раньше вашего вопроса (2005-01-25 в 14:40), то поймете, что его бессмысленно было задавать.



Ruta Freiberg, вы имеете что-то нам показать? Доказать? Так выкладывайте же, не тяните кота за хвост!



Вообще, вопросы задавать легко. Давайте я вас тоже спрошу, например:

- Вы можете утверждать, что ваш собственный организм не болен НИ ОДНОЙ из известных, а также НИ ОДНОЙ из доселе неизвестных болезней?

- Можете утверждать, что ваша лучшая подруга (сестра, бабушка, мама, отец, брат,... хоть кто-нибудь) вам НИКОГДА не врет?

- Можете утверждать наверняка, что вы сумеете сделать любое задание из вашей любимой области? А какое вы не сумеете сделать, если от этого будет зависеть жизнь родного человека?

- Можете утверждать, что все ПО на вашем компьютере, созданное не какими-то программистами из захолустья, а ведущими мировыми производителями, не имеет дыр?

и т.п.



Вы мало знаете о себе наверняка. Как же вы живете?

Вот так и мы.

Живем.

нос что все перечисленные больные так или иначе состояли в компании с YutakaOka и ее ботами - это самоочевидно, и что с того? вы пытаетесь сказать, что у них у всех одинаковый троян или одинаково подлые доверенные лица? или может, что пароль у всей компании одинаковый на всех? Что злоумышленник гадит конкретной компании и так очевидно, прискорбно, что он МОЖЕТ так легко делать это при помощи дневников. Насчет ронять всю базу - не смешно. банально - ЗАЧЕМ?



вы имеете что-то нам показать? я имею. вот здесь пользователь geoid признается, что последний из 10 случаев взлома - на его совести. Спросите его как это делается.

нос кстати, как сочетается Ваше заявление

Скажите, правильно ли я понимаю - на настоящий момент НИ ОДИН дневник / сообщество, владелец которого обратился к администрации Дневников с жалобой на взлом, не был поврежден вследствии уязвимости ПО Дневников?

Ответ: Нет, вы понимаете неправильно.

- с исходным в этой теме постом, явно выражающим мысль, что вариантов взлома два - небрежность пользователей или инопланетяне? Довольно оскорбительный для всех пострадавших пост, хочу заметить.

Уважаемый Бентен, там по ссылке нигде не сказано, что он проник в нашу БД паролей. А понятно лишь, что ему каким-то образом достался пароль одного юзера Драга. Этого мало, чтобы обвинять нас в дырявости ПО.

Я написал пользователю geoid письмо. Посмотрим, ответит ли он и что именно.



Если эта запись оскорбительна для пострадавших, значит они так и не верят в то, что сами виноваты. Тем хуже для них, потому что ничему не научатся.

например у вас есть брешь какая-то которая позволяет делать записи от произвольного времени (т.е дату и время можешь любую сделать)

так мне сказали*)

сама я кошка не разумная,и не женское это дело лезть в такие дебри,но она есть*)

нос Если эта запись оскорбительна для пострадавших, значит они так и не верят в то, что сами виноваты. Тем хуже для них, потому что ничему не научатся - спасибо, позиция администрации мне более чем понятна.

Уважаемый нос , поясняю свою мысль и суть моего вопроса:

если хоть один дневник пострадал вследствии уязвимости ПО Дневников, то первое сообщение в этой теме от г-жи ArLe не имеет права на существование в том виде, в котором оно высказано.

И - соглашусь с Бентеном - оно, по меньшей мере, неуважительно.



Касательно принадлежности к "ботам" пользователя YutakaOka - дело в том, что любой пользователь Дневников, таким образом, соприкасается с другим любым пользователем максимум через цепочку семерых общих знакомых. Какая степень удаленности от "опасного" пользователя YutakaOka требуется, в таком случае, для непричисления к "ботам"? Кстати, мне не совсем ясен контекст использования термина "бот" - насколько я понимаю, этим словом обычно называется виртуальная сущность, дополняющая / дублирующая оригинал; в этом случае, использование его в Вашей реплике от <2005-01-25 15:51> по меньшей мере некорректно. Пострадавшие дневники заведомо не принадлежат одному человеку, ручаюсь Вам за это.



Касательно доказательств: нос, Вы официально и от лица администрации Дневников разрешаете мне нарушить нормы пользования Сетью с целью демонстрации уязвимости ПО Дневников? Впрочем, насколько я вижу, в Правилах Дневников абсолютно ничего не сказано о мерах пресечения по отношению к хакерам - согласно правилам Дневников, Администрация пресекает только распространение спама и размещение провокационных / неэтических материалов. Такое отношение к существующей ситуации кажется мне странным, если не сказать - неоправданно самонадеянным, особенно учитывая заявление г-жи ArLe.

Да, я понимаю, что Дневники предоставляют в своем уникальный и бесплатный сервис - поэтому требовать каких-либо гарантий бессмысленно; но, как мне кажется, пользователи Дневников все-таки вправе рассчитывать на адекватную и корректную реакцию Администрации на огорчающие "дневничан" события, отследить и повлиять на которые сами они не в силах.



Интересующиеся соглашением о нормах пользования Сетью могут увидеть его тут

Уважаемая Ruta Freiberg, к сожалению, мне некогда долго говорить. Администрация пресекает не только спам и оскорбления, она так же защищает свой ресурс и предупреждает взломы базы данных, дос-атаки и прочее варварство.



Если вы нашли дыру в нашем ПО, так скажите об этом или взловайте. Вам что требуется на это мое разрешение? Если вас остановит пункт в Правилах о том, что нельзя ломать дневники, мы внесем его в Правила.

Я не понимаю какие особые разрешения вы хотите от меня получить. Есть нормы пользования Сетью, о которых вы написали, есть ваши воспитание, совесть, честь и есть Правила сайта — руководствуйтесь ими и оставьте меня в покое.

ну что, господа админы... http://www.diary.ru/~ohuhol

А что это значит?

Выражайтесь яснее, господин Бентен.

нос попробуйте пройти по ссылке, указанной выше - с примерами взлома. вчера эта ссылка работала. сейчас этот дневник удален.

а http://www.diary.ru/~gaallo ТОЛЬКО ЧТО превращен в сообщество. Пользователь gaallo .... ммм.... бурно выражается. Если не сложно - пока еще не случилось непоправимого, верните все обратно. Нелзя дожидаться комментов, как я понимаю.

Бентен, сегодня ссылка на ~ohuhol не работает, зачем ее приводить было, непонятно, если я ничего не могу там посмотреть.



Дневник gaallo тоже "взломали" или просто подобрали/узнали пароль? Откуда сведения, что его именно взломали? Почитайте на злобу дня запись у Эла: http://diary.ru/~el/?comments&postid=3685468.



Я не стану приводить нашу статистику, но поверьте, что вы бы перестали думать о людях, как о существах разумных, если бы вы увидели длинные списки дневниковых паролей, вроде "123", "11111", "666", таких, которые совпадают логином или именем домашнего каталога, номером аськи или сотового телефона, мылом, со словами, которые можно легко ассоциировать с автором после недолгого прочтения дневника, либо будучи знакомым с ним в жизни. Такая же ситуация с паролями и контрольными вопросами на зарегистрированной почте, либо на резервной почте, которая служит для восстановлления пароля там. Кроме того, многие не разлогиниваются при выходе из дневников в на компьютерах общего пользования.



Я не знаю что произошло с gaallo и другими, но нет никаких доказательств, что его дневник был "взломан" путем проникновения в базу данных, поэтому все обвинения не принимаются. Покажите дыру в ПО или взломайте дневник, на который я укажу, тогда мы будем извиняться, а пока не за что. Я не понимаю в чем претензии к нам?

нос

... господи боже. кому нужны ваши извинения? вы несколько не в том направлении думаете. Несколько мессаг назад вы заявили, что видите локализацию проблемы вокруг конкретной компании, и будете за этим следить - и вот уже сегодня случился новый взлом. МЕРЫ можно принять?!

Покажите дыру в ПО или взломайте дневник, на который я укажу, тогда мы будем извиняться, а пока не за что. Я не понимаю в чем претензии к нам?



Предложение принимается. Полагаю, обнаружив уязвимости в ПО своими силами, мы еще и окажем Вам услугу, не так ли?

Пожалуйста, подготовьте список "тестовых" дневников.

Ruta Freiberg Пожалуйста, подготовьте список "тестовых" дневников. - не надо. это не так честно - изменениям в конкретных указанных местах они могут сопротивляться.

мой дневник был без моего ведома превращён в сообщество. пароли я по стенам не вешаю, фаервол на рабочей машине отлажен. доказать дырявость дневникового ПО я не могу - не имею на то специальных знаний, что не мешает недоумевать по поводу того, что человек, уже много чего наломавший, продолжает это делать при полном бездействии со стороны админов и техпомощи

про человека известно - он из Мск или Питера, висит в частности на Вестколе, бывает в сети с 21-22 часов по 01-02, страдает отдельной любовью к группе успешно выступающих косплееров. кроме @дневников ломал аськи и почту, пытался ломать жж-шные дневники



мне интересно - администрация дневников собирается хоть что-то предпринять (то есть, имеет смысл подождать, быть может вы сможете локализовать этого человека, а пострадавшие выразят ему свои впечатления) или отсюда можно смело уходить, рассказывая всем про инопланетян?

Ребят, я понимаю, я тут слегка не к месту, но:

- Бен-бен, господин Нос чётко сказал - вопросы "интелектуальных" взломов его волнуют мало. Всё что не касаесть ПО диареи - вне его юрисдикции. Так как доказательств того что этот "гигант мысли" - ваш хацкер, пролез в Базу, нету - с администрации взятки гладки. Ловить эту вошь никто не будет, хотя бы потому, что она дестуктивит относительно (!) локально и большинству дневников ничего не угрожает.

- Гсподин Нос, в ваших ли силах вернуть подневольному Сообществу Gaallo первозданную дневниковость? Если да, то возможно стоит это сделать? А потом Гэл сменит пароли, мылы, аськи и прочее и мы посмотрим на сколько вы правы относительно полной законопачености дыр в БД. Просто эксперимент.

И потом, ну я понимаю, возиться с юзверями вам немного не по статусу, ловить этого деструктора - вообще не понятно как, но восстановить то что он уже сломал наверное можно?



- Господа и дамы принимающие участие в дискуссии - я осмелюсь напомнить, что действо происходит в дневнике леди Арле. в ЛИЧНОМ дневнике леди Арле. Да, она администратор,но она тоже человек. Может стоит переехать на Дайриспирит? А-то как-то не прилично вроде...



Не люблю подобные разборки. Удручают. Славные люди становятся похожи на чёрте-что.

2Каи. - насколько я понимаю по названию diary_support, это техподдержка. насчёт "гениев" - или подбор, или троян, отлавливающий все пароли с клавы. тут не надо быть гением... а возиться да, видимо неохота... не люблю жж, но альтернатив пока не вижу

Ой... ну да, с "личным" это я загнула.

Спать надо больше.

но в любом случае... вот.

gaallo, ставший сообществом, после просьбы Бентена в 13:11 в этой теме, я закрыл ваш дневник. Кто и зачем его снова открыл? Во всяком случае, теперь все гораздо сложнее и мало шансов на возврат в статус дневника.



Вы правильно заметили: diary_support — это сообщество техподдержки для всех зарегистрированных пользователей. Спасибо за наконец-то прозвучавшие слова со здравым смыслом: "насчёт "гениев" - или подбор, или троян, отлавливающий все пароли с клавы. Тут не надо быть гением" — гора с плеч, что хоть вы это понимаете. Но скорее не пароли с клавы, а Cookies или код сессии.



Бентен, вы спрашиваете, можно ли принять меры. Видите ли, получив код сессии зарегистрированного пользователя, или куку, или пароль, любой взломщик не будет отличим от хозяина дневника НИ ПО КАКИМ ПРИЗНАКАМ. Как мы можем заранее пресечь его действия, если для нас он законный пользователь своего дневника? Пресекать надо раньше, на вашей стороне, пользовательской. Например, не нажимать на все ссылки, которые встречаете в дневниках или на других сайтах. Единственный вариант защиты в такой ситуации — включить опцию "работать с одного IP-адреса". Но ею не все смогут воспользоваться.



Давйте собирать информацию, что ли.

Откуда известно, что "он из Мск или Питера, висит в частности на Вестколе, бывает в сети с 21-22 часов по 01-02, страдает отдельной любовью к группе успешно выступающих косплееров. кроме @дневников ломал аськи и почту, пытался ломать жж-шные дневники" Что еще известно? Что такое "Весткол"?



Москва и Питер — это больше половины посетителей дневников — мало что дает.