Блог

Лень теперь восстанавливать

Сегодня прочитал одну заметку, в которой утверждают, что эти вопросы о любимом животном совершенно не добавляют безопасности и они не должны использоваться в нормальных сайтах. Доводы против использования - вопросы создают мнимое ощущение безопасности, ведь большинство сайтов используют предопределенные вопросы, такие как:

- девичья фамилия матери

- имя лучшего друга

- первый автомобиль

- когда окончили школу

- название первой работы

Вводя свои финансовые санкции, США боится мести российских хакеров. Ну да, их боятся надо. Особенно безработных хакеров. Если из-за санкций США в России программисты начнут терять работу, то им нужно будет где-то приложить свои знания и уверен, что они пойдут не с добрыми мыслями о Бараке Обаме. 

Так что Обаме действительно есть чего бояться. 

Раньше мне было интересно читать истории о хакерах, особенно исторические факты. Но со временем как-то интерес угас и я уже давно не следил за историей. Если честно, то до сегодняшнего дня я практически ничего не знал о хакере по имени MafiaBoy. Сегодня, когда я читал интервью с MafiaBoy (его можно прочитать на русском здесь), то с удивлением узнал, что он был канадцем - из Монреаля. 

Сейчас MafiaBoy (наверно правильнее было бы писать Michael Calce) является консультантом в сфере безопасности. Все, кто когда-либо был пойман за хакерство обязательно становится консультантом по безопасности, потому что люди готовы платить за прослушивание лекций знаменитых хакеров. Это практически классическая история хакеров. 

В Канаде пойман первый хакер, который воспользовался нашумевшей уязвимостью Heartbleed (читай об этом здесь). Причем он пытался собрать данные с правительственного сайта, что слишком уж рисковано. Трогать государственное - опасно, потому что тут полиция тут же сядет на хвост и будет этот хвост дергать, пока не поймает. 

Хакерм оказался сын одного из профессоров ИТ в университете. Ох, сколько подобных историй уже было в интернете, когда хакерами становились дети каких-либо профессоров. 

Прикольный твитер кто-то создал - SwiftOnSecurity. Я просто валялся со следующего поста:

У меня закрыли мусорный ящик на yahoo. В принципе, туда шел сплошной мусор и по не счастливой случайности на этот же ящик был зарегистрирован facebook. Блин, подумал я. Вот это я попал. Ведь у меня в профиле был только один ящик и если там безопасность на высоком уровне, то можно попрощаться с аккаунтом. 

Захожу в facebook и добавляю новый ящик. Мне приходит письмо для того, чтобы я подтвердил владение ящиком. Я подтвердил. Иду в админку и там устанавливаю новый ящик основным. Без проблем, facebook дал мне это сделать. Удаляю yahoo ящик и снова без проблем. 

Сделал недавно новый сайт с нуля и у меня его протестировали на безопасность очень крутая компания. В общем пришел отчет, в котором показана критическая уязвимость - 

In any form field that is expecting sensitive data, set the 'autocomplete' attribute to 'off.'

For example, a simple password field may look like:

<input type="password" name="password" value="" />

Уже несколько дней Microsoft домогается  с тем, чтобы я добавил к своему аккаунту еще один e-mail и номер телефона. У них уже есть по одному экземпляру того и другого, какого черта они домогаются с еще одним. 

Если у меня уведут e-mail, то у меня будет номер телефона, чтобы восстановить доступ. Если я заброшу номер телефона (что в Канаде наверно бывает очень редко, потому что номера без проблем можно переносить на разных операторов), то будет e-mail. Если же я потеряю и то и другое, то даже еще один email скорей всего не поможет, потому что такая жопа бывает очень и очень редко. Хотя я даже представить себе подобное не могу. 

Я не знаю почему, но Webmoney с какого-то перепуга попросил у меня мой сотовый номер для подтверждения транзакции. Раньше этого не было когда я пользовался Webmoney Keeper (кажется так он называется). Причем под полем ввода для номера телефона написано, что с меня снимут деньги за СМС-ку с кодом подтверждения. Что-то мне это счастье не особо нравится. 

Кто знает, что случилось и как отключить? Надеюсь, что где-то в настройках, у меня просто времени сейчас нет искать. Программа итак там привязана к компьютеру так, что хрен отвяжешь, да и у меня пароли достаточно крутые, чтобы платить деньги за код подтверждения.