(no subject)

Jul. 23rd, 2006 08:33 am
[identity profile] katia-jung.livejournal.com posting in [community profile] useful_faq
Мне тут на днях авторитетно заявили, что, дескать, любой компетентый ИТшник да за пять минут получит доступ ко всем записям, которые я веду в ЖЖ под замком...Это правда или слухи? Можно элементарно вскрыть?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2006-07-23 06:58 am (UTC)
From: [identity profile] golosptic.livejournal.com
врут

Date: 2006-07-23 07:01 am (UTC)
From: [identity profile] glex.livejournal.com
особенно если заглянет через плечо и посмотрит пароль

Date: 2006-07-23 07:15 am (UTC)
From: [identity profile] raventus.livejournal.com
Бред.
Только узнав пароль.

Date: 2006-07-23 07:19 am (UTC)
From: [identity profile] dr-von-ozgg.livejournal.com
Ну вот пароль-то как раз можно узнать, хоть и не так просто. Трафик же можно "слушать", а пароль вряд л ишифруется.
Вопрос только в том, какому айтишнику надо знать чужие пароли. Нет, конечно, до моего ЖЖ добрался наш ИТ-отдел, но на работе я из принципа не вхожу под своим аккаунтом, а то мало ли... У меня там есть шокирующие некоторых записи по замком :)

Date: 2006-07-23 07:31 am (UTC)
From: [identity profile] raventus.livejournal.com
Теоретически надо смотреть запросы на предмет адреса страницы логина. Находим такой пакет, откладываем его в сторонку - пароль есть. Но опять же, в жж видел безопасный вход, то есть там, по идее пароль будет защищен.
Остается атака на локальный комп, т.е. куки и снифферы. Тут надо самому следить...
В любом случае количество геморроя огромно...

(no subject)

From: [identity profile] dr-von-ozgg.livejournal.com - Date: 2006-07-23 07:42 am (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 08:15 am (UTC) - Expand

(no subject)

From: [identity profile] katia-jung.livejournal.com - Date: 2006-07-23 09:56 am (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 11:18 am (UTC) - Expand

Date: 2006-07-23 11:57 am (UTC)
From: [identity profile] mivlad.livejournal.com
При логине в ЖЖ пароль в открытом виде не передаётся, если не отключать javascript.

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 03:21 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 03:51 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 03:53 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 04:07 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:10 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 04:27 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:30 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 04:37 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:42 pm (UTC) - Expand

(no subject)

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 05:23 pm (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 05:31 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] mivlad.livejournal.com - Date: 2006-07-23 05:52 pm (UTC) - Expand

Re: Reply to your comment...

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:36 pm (UTC) - Expand

Date: 2006-07-23 07:19 am (UTC)
From: [identity profile] klock.livejournal.com
Ерунду тебе сказали. Это не так.

Date: 2006-07-23 07:41 am (UTC)
From: [identity profile] dimey.livejournal.com
ставим прогу, фиксирующую все действия юзера

Date: 2006-07-23 09:57 am (UTC)
From: [identity profile] katia-jung.livejournal.com
а если я с домашнего компа вхожу, то это тоже возможно?

Date: 2006-07-23 02:38 pm (UTC)
From: [identity profile] dimey.livejournal.com
если нет элементарной защиты компа, то совсем просто поставить и проверить место, где хранятся пароли;)

Date: 2006-07-23 07:45 am (UTC)
From: [identity profile] f2065.livejournal.com
Учитывая человеческий фактор - легко.
Заслать трояна.
Если есть файрвол - это тоже обходится (как - не скажу, но есть реальные способы для подавляющего большинства файрволов).

Вобщем не запускай никаких файлов полученных от посторонних ;) В том числе и якобы правильных файлов - к примеру можно какой-нибудь инсталлятор перепаковать, что сначала он украдёт пароль, а потом инсталирует ожидаемую тобой программу.

Date: 2006-07-23 07:54 am (UTC)
From: [identity profile] dasboot.livejournal.com
Смотря кем этот айтишник тебе приходится. Если Вася с улицы - узнает, только заломав руки и потребовав пароль.

Date: 2006-07-23 08:47 am (UTC)
From: [identity profile] spbsit.livejournal.com
наверное это сказал какой-то самовлюбленный павлин.

с другой учитывая склонность людей везде использовать одни и те же пароли, придумывать легкие пароли, разрешать браузеру запоминать пароль и т.п... К тому же узнать пароль не так сложно, если есть доступ к компьютеру с правами администратора (а ведь многие работают именно под этими правами) - достаточно использовать программку, которая тихо записывает все вводимое с клавиатуры в файл, а потом однажды этот файлик просмотреть на предмет паролей.

Date: 2006-07-23 09:58 am (UTC)
From: [identity profile] katia-jung.livejournal.com
а если я с домашнего компа вхожу, то это тоже возможно?

Date: 2006-07-24 07:41 am (UTC)
From: [identity profile] spbsit.livejournal.com
1. чтобы сделать все из перечисленного мною выше - нужно иметь физический доступ к компьютеру.
2. физический доступ к компьютеру можно заменить удаленной работой - получив разрешение пользователя при установлении соединения или используя уязвимость в системе.
3. если последние обновления по безопасности регулярно скачиваются и применяются, а так же на Вашей машине стоит настроеный файрвол - нужно быть достаточно одаренным хакером, чтобы чтобы получить доступ к системе, но такие пожалуй не станут так хвастаться.
4. еще раз: все что угодно можно сделать имея физический доступ к машине. или имев его когда-то однажды и соответственно им воспользовавшись.

все же мне кажется кто-то просто любит похвастаться. да и кому настолько интересны Ваши скрытые записи? - проще всего создать анонимный журнал и навязаться во фрэнды.

Date: 2006-07-23 09:31 am (UTC)
From: [identity profile] n-a-s-t-i.livejournal.com
клавиатурные шпиены умеют многое ;)

Date: 2006-07-23 09:40 am (UTC)
From: [identity profile] glukinho.livejournal.com
Если пост вначале был обычным, а потом попал под замок, то он кэшируется в blogs.yandex.ru, и его легко можно найти поиском.

Date: 2006-07-23 09:59 am (UTC)
From: [identity profile] katia-jung.livejournal.com
а подзамочные точно никак не ищутся??

Date: 2006-07-23 10:30 am (UTC)
From: [identity profile] glukinho.livejournal.com
Не знаю.

Date: 2006-07-23 11:08 am (UTC)
From: [identity profile] kibirov.livejournal.com
Которые всегда были подзамочными - точно никак :)

По самому вопросу вам правильно уже сказали: в принципе, компетентный айтишник МОЖЕТ заполучить ваш пароль - и, соответственно, прочесть подзамки.
Но это не ЛЮБОЙ компетентный айтишник, а только такой, который работает в той же сети, что и вы - ну, грубо говоря, работает в одной конторе с вами :)

Наш админ запарил нас всех, пока учился устраивать такие взломы и отражать их: то и дело засылал нам письма с наших веб-аккаунтов, приучал к серьёзному отношению к работе в сети :) Пароли меняли каждый день...

Панацея - да, шифрованное соединение с прокси, например. Но установить его опять же может только админ по вашей просьбе :)

Date: 2006-07-23 02:40 pm (UTC)
From: [identity profile] dimey.livejournal.com
если в настройках жж не проставлена галочка "не сканировать поисковиками", тио нередко можно глянуть сохранённую копию на яндекс-блоге

Date: 2006-07-23 10:45 am (UTC)
From: [identity profile] not-your-toy.livejournal.com
узнать пароль твоего ящика.
и сделать запрос на смену пароля.
новый придёт на ящик.

Date: 2006-07-23 03:47 pm (UTC)
From: [identity profile] xzekytep.livejournal.com
В ЖЖ очень много багов. Очень.
Но не пять минут.

Date: 2006-07-23 03:59 pm (UTC)
From: [identity profile] raventus.livejournal.com
И их постоянно исправляют. Постоянно.
Очень долго я бы сказал.

Date: 2006-07-23 04:02 pm (UTC)
From: [identity profile] xzekytep.livejournal.com
К команде ЖЖ не имеете отношнния?

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:03 pm (UTC) - Expand

(no subject)

From: [identity profile] xzekytep.livejournal.com - Date: 2006-07-23 04:05 pm (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:06 pm (UTC) - Expand

(no subject)

From: [identity profile] xzekytep.livejournal.com - Date: 2006-07-23 04:07 pm (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:08 pm (UTC) - Expand

(no subject)

From: [identity profile] xzekytep.livejournal.com - Date: 2006-07-23 04:11 pm (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:13 pm (UTC) - Expand

(no subject)

From: [identity profile] xzekytep.livejournal.com - Date: 2006-07-23 04:15 pm (UTC) - Expand

(no subject)

From: [identity profile] raventus.livejournal.com - Date: 2006-07-23 04:28 pm (UTC) - Expand
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only