Спасибо - оно было надо...

Потому что СНАЧАЛА я собирался сходить посмотреть на ссылку, а уж ПОТОМ жаловаться админам. =DDD



"И про старуху бывает порнуха..." (с)

Впредь будем умнее.

а что было по ссылке? я не открывала, интересно просто.

D_D_D Доходчиво!

слава богам! эксперимент был НЕ ЧИСТЫЙ, жить все еще можно

я уплющился было со страшной силой - все же 70 процентов идиотов это воистину страшно. И тут же получил ссылку на пресловутую страницу от приятеля. А пожаловавшись другому приятелю узнал, что ссылка мелькала у него в избранном. Уж не знаю, что там такого было на этой странице, но я так понял, что там был некий прикол - и ее стали передавать друг другу как прикол! а это уже, согласитесь, разные вещи - повестись на спам или на рекомендованную другом ссылку. Во втором криминала по части маразма все-таки меньше.

так было делать нельзя. ничего кроме счетчика для чистоты эксперимента на странце быть не должно.

а торкнуло меня сперва не по-детски!

ArLe, там вроде бы была такая штука (видела в чужом дайрике) :



"Уважаемый пользователь Diary.ru !

Разрешите Вас поздравить, Вы только что совершили действие, в результате которого могли лишиться своего дневника и Ваш дневник мог бы сейчас находиться под контролем злоумышленника. А именно: Вы получили u-mail от неизвестного Вам пользователя и перешли по ссылке, указанной там, либо нашли эту ссылку на одном из дневников.



На этой странице вполне мог бы находиться вредоносный скрипт, использующий "дыру" Вашего браузера, в результате чего автор этого скрипта смог бы получить доступ к Вашему дневнику и, в худшем случае, Ваш дневник мог бы быть уничтожен.



Но Вам повезло.



Эта страница не содержит никакого вредоносного кода и носит предупреждающий характер. Запомните, пожалуйста свое действие и никогда не переходите по непроверенным ссылкам, которые как могут быть высланы Вам на u-mail, так и встретиться на чужих дневниках или даже в комментариях к Вашему дневнику.



Вы же не хотите лишиться свого дневника?



Тогда соблюдайте правила безопасности:



1. Никому не говорите пароль к своему дневнику.



2. Пароль должен быть достаточно сложным и состоять, как минимум, из 8 символов; обязательно используйте как буквы, так и цифры, не используйте в качестве пароля свой ник, дату рождения и другие данные, которые могуть быть известны широкому кругу лиц.



3. Проверьте, достаточно ли хорошо защищен почтовый адрес, на который высылается забытый пароль. Особо обратите внимание на т.н. "секретный вопрос" к почтовому ящику, позволяющий установить новый пароль. Многие случаи кражи паролей на дневники произошли именно так.



4. Регулярно обновляйте свое антивирусное программное обеспечение и обязательно используйте межсетевой экран (файрвол) при любой работе в Интернете; скачивайте обновления и "заплатки" на используемый Вами браузер.



5. Всегда разлогинивайтесь (нажимайте кнопку "Выход" на странице сайта), если Вы заходили на дневники с чужого компьютера.



6. Если Вам все-таки невтерпеж узнать, что же находится за подозрительной ссылкой, то разлогиньтесь на дневниках перед тем, как перейти по этой ссылке.



В противном случае Вы можете лишиться своего дневника, и Администрация в этом случае ничем не сможет Вам помочь!



Разместите эту ссылку на своем дневнике, чтобы Ваши друзья были предупреждены о возможной опасности."



Вот и стали ссылку размещать (с комментариями и без)- правда, не все. Так что статистика не вполне верна. Хотя результат все равно впечатляет.

Шрэk, потом жаловаться уже было бы поздно:))



ArLe, вот эта ссылка: http://www.sivka-burka.h14.ru/



Можешь зайти и посмотреть, там, разумеется, нет ни троянов, ни скриптов, ворующих куки:) На странице установлен счетчик Mail.ru - я специально не стал устанавливать внутренний PHP или Perl-счетчик, дабы не быть обвиненным в фальсификации. За результатом эксперимента мог следить любой желающий.

D_D_D повторяю - эксперимент НЕ ЧИСТЫЙ. нельзя было делать страницу содержащей нформацию. ссылку пеедавали из рук в руки.

Anabioz, угу, поэтому и затеялся:)



Бентен ничего кроме счетчика для чистоты эксперимента на странце быть не должно.



Тогда была бы напрочь утеряна воспитательно-предупредительная компонента и эта затея просто превратилась бы в эксперимент в чистом виде. Я специально составил этот текст, чтобы каждый зашедший на страницу понял, наконец, что могло бы быть.



а это уже, согласитесь, разные вещи - повестись на спам или на рекомендованную другом ссылку.



На мой взгляд, не столь суть важно - ведь неспроста в первом абзаце страницы "учебной тревоги" я написал: Вы получили u-mail от неизвестного Вам пользователя и перешли по ссылке, указанной там, либо нашли эту ссылку на одном из дневников.



Страница вполне могла бы быть наполнена интересной для большинства дневниковцев смысловой информацией, а зашедший на нее так и не узнал бы сразу, что его кука уже сворована. И она (жертва) также могла бы разместить ссылку на своем дневнике (это обычная практика @дневников), и тогда количество привлеченных на эту страницу посетителей было намного больше, чем после рассылки спама - что мы в данный момент и наблюдаем.

Бентен, думаю, процентов 60 ТОЧНО повелись. Увы.

Страница вполне могла бы быть наполнена интересной для большинства дневниковцев смысловой информацией, а зашедший на нее так и не узнал бы сразу, что его кука уже сворована.



может тогда вообще в инет не заходить? это же может быть на любой странице.

сирин, но, согласитесь, вероятность того, что ссылка на страницу, "заточенную" именно под дневники с гораздо бОльшей вероятностью может встретиться на самих дневниках.



На самом деле это не просто глупая шутка, представьте себе, что собралась группа злоумышленников в количестве десятка человек и озадачилась сотворением пакости на дайрах - те же конкуренты из числа пользователей ЖЖ, да мало ли кто. В результате на странице могла бы быть размещена примерно та же самая информация, что и находится на ней сейчас - количество посещений на данный момент, подбирающееся к 2000, показывает, что эта информация оказалась все-таки достаточно интересной для обитателей дайров. И рассылка была бы организована не 1000 пользователей (я все-таки один, и трафик у меня не халявный), а больше - результатом был бы взлом нескольких тысяч дневников, а это достаточно значительное количество, если учесть, что как минимум половина дневников на данный момент заброшены своими хозяевами (ссылка для сомневающихся).



Это нанесло бы значительный ущерб репутации сайта, разве нет?



Я вот еще хочу задать вам один вопрос, только ответьте на него честно.



Кто из вас удосужился просмотерть исходный текст обоих фреймов на странице, указанной в спам-рассылке? Может быть там на самом деле был вредоносный скрипт? А пользователи, опять же, поверили мне на слово и продолжили размещать эту ссылку на своих дневниках. И даже если бы и нашелся человек, обнаруживший заразу на этой странице, каким образом @Администрация смогла бы предупредить всех пользователей за короткое время - особенно с учетом как раз подвернувшихся очередных проблем с дневниками?



Так что результаты, учитывая сравнительно небольшое количество вовлеченных участников, как мне кажется, более чем показательны.

D_D_D да не нашли эту ссылку на одном из дневников. - а получили от друга. это сильно другой случай. ссылку передавали как забавную. Подписываюсь под утвержлением сирин - это действительно могло быть на ЛЮБОЙ странице вообще. в том числе например - на главной странице дневников



да нет, я в целом полностью подписываюсь под тем, что эксперимент был нужен. в любом случае страшно - сколько бы процентов не повелись на это дело.

Бентен в том числе например - на главной странице дневников



ну, главная мне не по зубам, а то, что было сделано - доступно каждому, ведь я такой же обычный пользователь дайров, как и любой из вас:)

D_D_D Ну с моей паранойей - это не страшно... Надо почаще менять пароль, вот и всё...

Да и... Волков бояться - в лес не ходить, т.е. то, что я поместил эту ссылку у себя в дайре - это доверие Админам - они-то наверняка просмотрели это. А если нет... Да и ладно...

Мне, в принципе, дорог мой дайр - но я без него не умру и могу завести новый. Или ещё чего придумать.



П.С. Мои ПЧ, кстати - тоже все "спасибо" сказали, сходив у меня по этой ссылке.

В общем... Паранойя - хорошо. Но - в разумных пределах.

Ходить на каждую ссылку дайра, перед этим разлогиниваясь...

-----

ИТОГО: СПАСИБО!

D_D_D,

Гагагага, отлично! Искренне апплодирую. Очень показательный эксперимент.



В принципе, насколько я разбираюсь, перейдя на сайт .h14.ru чисто технически уже невозможно своровать куки пользователя с diary (посколько для этого нужно внедрить кривую ссылку ещё на саму diary, а это не получится). Зато можно выполнить ряд других очень вкусных вещей, как то : добавить от имени постороннего пользователя определённый коммент в определённый пост, отослать умыло на определённый адрес и многое другое. Не говоря о троянах, в результате работы которых потеря дневника - самое меньшее из зол, которое может случится.



Отлично. Социальная инженерия рулит. D_D_D, крассавчик.



Что касается методов противодействия спаму - к сожалению, специфика интернета не позволит на 100% отсечь эту заразу. По крайней мере, я с очень большой вероятностью готов предоставить свой "ответ Чемберлену" на любые противодействующие меры. Поэтому, всё же, будьте немного более параноидальней...



сирин Ты будешь смеяться, но это так и есть. На любой. И вовсе не обязательно, что ты будешь знать о том, что твой компьютер уже полгода как используется злоумышленником как звено в сети для проведения распределённых вычислений.

Tzota повторяю написанное: "это же может быть на любой странице."

я прекрасно знаю, что на любой странице интернета может быть какая-нибудь гадость и что выход в интернет для компа потенциально опасен )



мораль: давайте не будем лишний раз нарываться ) думать о своей безопасности надо самим )

Вот чо-то я тут читаю, но не могу понять, каким образом возможен сам взлом дневника при переходе на другую ссылку? Только не надо рассказывать про какой-нить вредоносный и опасный код, который поджидает пользователя на подсунутой странице, т.к. это проблемы безопасности ПО юзера, а не сервера, соответственно его проблемы, а не наши.

Шрэk, ну конечно же, я не призываю к параноидальной подозрительности. Просто хотел заставить вас еще раз задуматься над тем, что бОльшая часть безопасности кроется в локальной политике отдельно взятого юзера.



Tzota, да здесь даже суть не в том, мог ли на хостинге Holm.ru находиться эксплойт, ворующий куку, а в самом принципе.



для этого нужно внедрить кривую ссылку ещё на саму diary, а это не получится



Да и фиг с ним, с Diary.ru, на упомянутой странице, в левом фрейме, где находится картинка, повторяющая дизайн дневников, можно было сделать скрин, подразумевающий наличие свежих комментов в дневнике пользователя (например Мой дневник - 4) и повесить ту самую "кривую" ссылку на эту картинку. Думаешь, мало пользователей ткнуло бы в нее? Можно было бы использовать вообще тупейший метод: справа написать "извините, в результате ошибки вам необходимо заново ввести логин и пароль", а слева сделать стандартное @дневниковское поле для ввода логина и пароля, а на самой паге использовать знаменитую дыру ИЕ, позволяющую отображать в строке адреса URL, отличающийся от текущего. Продолжать можно до бесконечности. Я уж молчу про трояна, заточенного специально для дайровских кук, который мог быть засажен на эту страницу - если его упаковать должным образом, ни один антивирус и не пискнет; ну а маскировка трояна под заведомо разрешенное файрволом приложение или даже внедрение его в адресное пространство того же ИЕ - мне ли тебе об этом рассказывать...



Что касается спама - нисколько не сомневаюсь, что у тебя в загашнике как минимум десяток методов, даже догадываюсь, каких:) Это вечная борьба щита и меча, но если на сайте будет элементарная блокировка на количество отсылаемых сообщений от одного логина в единицу времени, то админы могут умыть руки и с чистой совестью сказать: мы сделали все, что могли.



Dr0n, все верно, это проблема локальной политики безопасности отдельно взятого юзера - но не открою тебе большой тайны, что немалое количество пользователей сайта - просто-напросто несовершеннолетние, которые в силу возраста не могут обеспечить сами свою безопасность, да и взрослые пользователи тоже порой далеки от проблем сетевой безопасности.



Был один умник, у которого хватило мозгов встроить в свою домашнюю страничку трояна, использующего брешь в IE, для того чтобы воровать пароли. И ничего, заманивал на эту ссылку, а потом делал с дневниками хозяев что хотел



Это сказал Tzota здесь, и у меня нет оснований ему не верить.

D_D_D тогда не стоит говорить о массовом взломе дневников. Потому как взлома дневников не происходит. А если юзер сам попался на уловку, так это его проблемы. Да и вообще, вместо слова "взлом" должно быть "кража информации". Мы не виноваты, что юзеры не образованы в части сетевой безопасности. И бегать за каждым не будем. Я вообще таких игнорирую. Ибо достали. Вместе с вопросом, как создать сообщество.

Dr0n, согласен. Для этого и проводил мероприятие. И дело тут не в терминологии, а в принципе. Но Администрация должна делать все, что в их силах, чтобы не трепать себе лишний раз нервы и не подрывать репутацию сайта. В том числе и такими вот "учебными тревогами".

D_D_D Хоть мне и не пришло такое письмо, но все же я хотел бы очень Вас отблагодарить. Спасибо, что благодаря Вам, это прекрастное творение под названием "Дневники" теперь будет еще мощнее, в плане защиты. А на месте Администраторов, я бы подумал о том, чтобы взять Вас к себе в админы.

Dendy, спасибо за Ваши слова, потому что в прошлый раз мне пришлось выслушивать, в основнем, несколько другие вещи:)



Дневники, как я считаю - наш общий дом, и долг каждого здесь живущего - заботиться об этом доме. Может, звучит пафосно, но я на самом деле так думаю.



А на месте Администраторов, я бы подумал о том, чтобы взять Вас к себе в админы.

Увы, даже если бы предложили - мне моей основной админской работы хватает и на выходные, и на праздники, да и на остальные дни более чем достаточно:)

Да...

И вы думаете, что наивных людей станет меньше?..

Ошибаетесь

Люди продолжут тыкать в левые ссылки.



Да и кому нужны дневники?..

Тем более в таком масштабе?..

Вот был как-то Фортинбрас, или как там его, а теперь нету.

Да даже если бы и был, и организовал бы рассылку ссылок с троянами и словил бы эти несчастные тысячу паролей, и что он с ними сделает?..

Сменит?..

Может с помощью проги можно сменить, но есть же ещё е-мэйл. Его тоже можно сменить, но при этом нужно подверждение на самом новом почтовом адресе о смене пароля. Можно зарегить тысячи адресов, но это же так геморройно. И кто-то вы думаете, будет этим заниматься??.. Фортинбраса нету, другого психа, который бы хотел таким заняться - вряд ли родила земля русская. А конкуренты с ЖЖ?.. Ну зачем ЖЖ даири? Ась? Если у них юзеров в 100, а то и в 1000 раз больше.

Честно говоря, мне кажется что это все паранойя.



Другое дело, если кто-то решил направить точечную атаку против какого-то определенного юзера и узнать его пароль. Типа он когда-то его обидел и этот решил отомстить... Супер-мега хакер И у него может получится, если пароль простой, либо бла-бла-бла, ну способы которые уже тут упоминались и не раз... Ну тут даже осторожность не спасет. При среднем понимании дела, софте и информации, который можно найти в сети - любой дурак сможет найти способ стырить пароль у любого простого жителя дневников и не только дневников.



А что надо делать...

Видел я тут как-то из сотни комментариев комментарий по-моему одного из админов, что типа ввести ограничение на количество символов в пароле - как минимум 5, и вынудить людей сделать пароль с цифрами и буквами. Вот это единственный из сотни комментариев по этой теме, заслуживающий внимания.

А все остальное... Спамить у-мэйлы простых участников... Ноу комментз... Так нормальные люди не сделают... Ведь и так, каждому понятно, что любопытство часто приводит к тяжелым последствиям, и это доказывать не надо. Точно так же можно было бы скачать программу по переборке паролей, впихнуть список из пару тясяч юзеров, прогнать по нему, а потом вывесить список тех, у кого были простые пароли!

И показать, вот сколько тупых... А ведь спам это практически тоже самое, главная задача которого показать, какие люди глупые и наивные.

Ну показали и что дальше???

А ничего.

Надо делом заниматься... А не хулиганить.



Надо ввести ограничение на количество символов в пароле, запретить возможность спама/флуда по у-мэйлу.



А ещё поражает меня снисходительность и принебрежение некоторых участников дискуссии по отношению к другим и вообще к пользователям этого сайта...

GreenInsect

GreenInsect, ты сильно от изначальной темы отошел. Вопрос изначально был не о спаме, а о том, как именно происходит подавляющее большинство "взломов дневников", и насколько в наличии возможностей "взломов" виноваты разработчики этого ресурса, а насколько сами пользователи. Про массированную атаку D_D_D упомянул к слову.

Можно выссказаться простому рядовому днявниковцу? Который в деле спамов, хакерства и троянов вообще мало чего понимает. Пологаю можно, тут такое ещё не запрещялось.

Ну вот и высскажусь. ДО меня сиия ссылка не дошла. Т.е. я помойму её где то видела, но не заходила. Тобеж..известие об учебной тревоге до меня дошло только сегодня.

Сразу хочу сказать, заявить, что идея просто невероятно отличная. Хотя бы по тому что после неё, мы можем вести эти дискуссии, а меня например заставить задуматься о безопасности на краях инета. ООчень потдерживаю идею о защите юзеров, особенно несовершеннолетних. Положим я, обсолютно беззащитный юзер. Хотя бы потому что програмёрством не занимаюсь, хватает чем заниматься в жизни. Но сётаки, хочу чувствовать себя в безопасности и так скажем опираться о широкии спины тех кто тут всем заправляет. Положим я не совсем беззащитная. ТОт же закрытый доступ на мой дневник. Уже часть защиты. ТОт же автоматический разлоганитель (у какое словечко))гыы)) и сложный пароль..в принципе маломальски я себя и защищяю. не совсем чайник. ТОлько наполовину.

Вообщем я хоетла поблогодарить за всё. Спасибо вам, я вас обажаю. И хорошо что это всё есть..например я раньше никогда не задумывалаьс заходить или нет на левые ссылки..а теперь буду думать 55 раз. И скорее отказываться от этого удовольствия. Безопасность прежде всего!

А дайрики не точто наш дом, это наша семья! Наша кровать и наш кухонный стол! Поэтому..надо, просто надо думать о всём этом и о всём том что может случицца.

По теме психов: к нашему великому сожалению психов пално, и пално таких которым в жизни делать обсалютно нечего кроме как кропотать и горбатится над тупой идеей взлома и разрушения дайри.ру. Просто потмоу что СКУШНО человечку. А галвное что мы потом будем делать? Компенсацию анм никто не выплатит, информацию не вернут..и вообще, останемся у разбитого корыта.

по поваду паaосности что ,было там сказанно. Зря ты так, пафоса тут нет никапли. ЭТо наша хата, и мы будем её охранять! А если надо даже бороться..



пы.зы. простите за флуд, а?=))

GreenInsect, из всего коммента больше всего понравилась мысль, которую я давно хотел донести до админов.



Можно зарегить тысячи адресов, но это же так геморройно.



Гемморойно? Отнюдь, я прямо сейчас могу сесть и написать прогу, регающую аккаунты на дайрах - достаточно в качестве адреса, на который высылается ссылка для активации использовать сервис типа Ipmouse.com. И делать это она будет довольно быстро. Да, я понимаю, что это не столь актуально, но тысячи "левых" аккаунтов захламят базу и добавят в нее глюков, разве нет? Маньяки, все-таки, разные бывают:-))



Посему неплохо бы при регистрации нового юзера сделать подверждение "человеческого происхождения", пусть даже не в виде размытой картинки с нацарапанными цифрами, а хотя бы числа прописью - как я понимаю, это сделать намного легче - т.е. типа "введите число :две тысячи сто восемьдесят три: цифрами".



А все остальные методы - ограничение на длину пароля, ограничение на рядом расположенные (как в кодовой таблице, так и физически) символы и т.п., я уже давно изложил Администрации в письме.



Надо делом заниматься... А не хулиганить.



Уж извиняйте, стараюсь, как могу. Чуть ли не за ручку 2000 пользователей повел и предупредил об элементарных правилах безопасности:)) Сделайте и Вы что-нибудь в плане повышения безопасности сайта, все будут только благодарны.



А ещё поражает меня снисходительность и принебрежение некоторых участников дискуссии по отношению к другим и вообще к пользователям этого сайта...



Это в мой огород, или так, к слову?

ArLe я знаю, из-за чего этот сыр-бор. Но разве были непонятны сразу результаты этого "эксперимента"?..







Гемморойно? Отнюдь, я прямо сейчас могу сесть и написать прогу, регающую аккаунты на дайрах - достаточно в качестве адреса, на который высылается ссылка для активации использовать сервис типа Ipmouse.com. И делать это она будет довольно быстро. Да, я понимаю, что это не столь актуально, но тысячи "левых" аккаунтов захламят базу и добавят в нее глюков, разве нет? Маньяки, все-таки, разные бывают:-))



Посему неплохо бы при регистрации нового юзера сделать подверждение "человеческого происхождения", пусть даже не в виде размытой картинки с нацарапанными цифрами, а хотя бы числа прописью - как я понимаю, это сделать намного легче - т.е. типа "введите число :две тысячи сто восемьдесят три: цифрами".



Маньяки разные бывают... И это предложение о картинке тоже хорошее...



Уж извиняйте, стараюсь, как могу. Чуть ли не за ручку 2000 пользователей повел и предупредил об элементарных правилах безопасности) Сделайте и Вы что-нибудь в плане повышения безопасности сайта, все будут только благодарны.



И вы думаете, что все эти 2000 человек не ткнут в ближайшую ссылку, которая им попадется на глаза?.. Любопытство - страшная сила.

Я? А что я могу сделать? А ничего, потому как не программист я... Вот и скажете вы, и другие, что так сиди и молчи. Но я имею все-таки право высказаться о том, что делают другие люди как бы для меня. А спам/флуд - это разве хорошо?..



Это в мой огород, или так, к слову?



Я вообще-то говорил о других участниках, но если вы считаете, что это про вас - я не буду вас отговаривать...