Полезные вопросы

Да, но взлом почты. Допустим, некто украл паспорт и, воспользовавшись внешним сходством, снял деньги с чужого банковского счета. Можно ли назвать это "грабежом банка"? Так и здесь - если это делается исключительно через почтовый ящик, нельзя говорить о "взломе журнала".

From:

antropovalexey.livejournal.com

путь не важен, главное результат. а результат - взлом журнала, а не банка

From:

Путь очень даже важен с точки зрения того, как этого избежать. Если взломы идут только через мейл, то появляется очевидная возможность - завести специальный ящик исключительно для регистраций на всевозможных серверах. И более нигде и никому этот адрес не сообщать.

From:

брут пароля чем не взлом?

From:

Это полный перебор? А почему тогда на серверах не вводят ограничение типа "не более 10 попыток подряд"?

From:

я только лишь предположил

From:

прокси еще никто не отменял=)

From:

Можно после нескольких неудачных попыток применять классический антироботный тест "введите цифры, изображенные на картинке".

From:

ex-cocktel.livejournal.com

После нескольких неудачных попыток заходим под анонимной проксёй и делаем ещё несколько неудачных попыток и так до бесконечности.. ) И никакие антироботные тесты не страшны.. Если конечно не с самого начала пихать эту картинку..

From:

После нескольких неудачных попыток заходим под анонимной проксёй и делаем ещё несколько неудачных попыток и так до бесконечности..
А зачем на IP смотреть? Пять раз ввели пароль неправильно - все, дальше только через тест.

From:

ex-cocktel.livejournal.com

ну вообще-то система анализирует так.. если с одного ипа произведено много неудачных попыток, то она даёт ему тест..А если сменить ип то можно всё начинать сначала ) Сорри за невнятность.. но идею я объяснил )

From:

можно систему написать так, чтобы счетчик попыток накручивался исходя не из ip, а из названия журнала, чей пароль подбирают..
а собсно.. о чем спор :) в жж разве есть данная приблуда?

From:

в жж разве есть данная приблуда?
Тоже, кстати, интересный вопрос.

From:

maykie.livejournal.com

Кстати, обратите внимание на наличие сервисов как на lj+.
Не знаю как там устроены сервисы, но некоторые их них посылают пароль журналу.
И я не думаю, что они(сервисы) используют тот же способ входа в журнал как и обычные пользователи.

From:

Не знаю как там устроены сервисы, но некоторые их них посылают пароль журналу
Какие именно? Я lj+ свой пароль точно не сообщал.

From:

maykie.livejournal.com

>Какие именно?
Те которые требуют пароля. Навскидку - отложенный пост. Ну и еще что-то.
>Я lj+ свой пароль точно не сообщал.
Аналогично :-)

From:

сервисы(и жжшный софт типа семаджика) могут себе позволить только то, что укладывается в протокол клиент/серверного общения:
http://www.livejournal.com/doc/server/ljp.csp.protocol.html

From:

попробуйте посчитать, сколько времени потребуется на определения пароля полном перебором?
никто никогда этим заниматься не будет.
да и взломом это назвать трудно.. я так понимаю, что grey_horse спршивает о стабильности жж.. а возможность бурта пароля не характеризует защищенность системы, тем более с открытым web-интерфейсом.

From:

куки еще наверное спереть можно

From:

взлом любой системы - это дело времени, поэтому ответ на ваш вопрос
да, теоретически
я знаком с фактами получения каких-то возможностей управления жж. к примеру, можно было добавить некоторый журнал во френд-ленту к "жертве". (сейчас эта дыра зашита, если я не ошибаюсь)
но фактов получения фул-аксесса к журналу, через ошибку сервера.. я не встречал.
да, можно играться с куками, брутфорсить, ломать почту и пр., но вопрос ваш заключался не в этом, правильно?

From: