Блог

Сегодня пришло письмо с финансовой информацией от банка, в котором в письме был запароленный pdf файл. Отличная идея, не прикреплять открытый документ, хотя, в принципе, в документе ничего сверх естественного нет. Но все равно, отличная идея. А вот то, что глупо, так это то, что пароль был в том же письме. Точнее подсказка на него. В письме было сказано, что паролем является моя фамилия в нижнем регистре, т.е. без заглавных букв.

Даже если какой-то идиот перехватит письмо, то он не так уж и долго будет подбирать пароль. Дело в том, что письмо шло мне на почтовый адрес flenov@servername.com. Даже просто наугад любой хакер с первого раза угадает, даже не зная меня и никогда не слыша обо мне.

Ну хотя бы выбрали имя. Мое имя для Канады не так популярно, и даже если кто-то перехватит письмо и кто не знает меня, то придется подбирать, хотя и это займет не так уж и много. Имен не так уж и много в мире.

У меня в последнее время не хватает времени на поддержание своего небольшого проекта CyD Software, которым я занимался более 10 лет. Уже и не помню, когда я его создал, давно это было. К чему я вспомнил о нем сегодня? Просто интересный клиент появился.

Если оформлять оплату через softkey, то нужно указать, кто является покупателем. Я заметил, что в последнее время все больше стало юридических лиц. Видимо компании стали платить за программы, а администраторы меньше стали воровать. Ведь если работодатель платит, то зачем воровать. Так вот, недавно Network Utilities - Security tools была куплена кем-то из МВД РФ. Интересный клиентик. У меня были клиенты, которые указывали в качестве места работы достаточно крупные компании (не думаю, что покупали сами компании, скорей всего сотрудники), но МВД – это впервые.

Сегодня получил от PayPal письмо, в котором меня очень нежно предупреждают, что они заметили неавторизованный доступ к моей кредитной карточке:

We recently received a report of unauthorized credit card use associated with this account. As a precaution, we have limited access to your Paypal account in order to protect against future unauthorized transactions. Мы недавно получили отчет о неавторизованном использовании кредитной карты, связанной с вашим аккаунтом. В качестве предосторожности мы ограничили ваш доступ к аккаунту PayPal, чтобы защитить вас от будущих неавторизованных транзаеций.

Ну что за ламеры, ведь PayPal не имеет доступа к транзакциям на кредитных картах, даже если они прикреплены к моему PayPal аккаунту. Только PayPal имеет права доступа к кредитной карте, но он не видит никаких сторонних транзакций, только свои. Ни один мерчент , а PayPal такой же клиент кредитных карт, как и магазины, не может получить этих данных, это должны знать все. Так что если и был неавторизованный доступ, то к пейпал аккаунту и за это несет ответственность именно пейпал.

На прошлой неделе были арестованы 86 человек и остальные из 111 находятся в розыске, которые подозреваются в хищении персональных данных и кредитных карт народа. Не хилая такая группировка получается. В группу входили кассиры, официанты и куча разных людей, которые связаны с кредитными картами. И похители они в общей сложности более 13 миллионов долларов.

Мне понравилось в новости на Хакере, что "использовавшей самые современные методы кражи данных". Ну и что же суперсовременного нужно официанту? Снять скан с кредитной карты дело одно секунды. Достаточно просто сфотографировать поверхность и все необходимые данные уже есть. Разве что они снимали все данные с ленты или чипаи создавали физические копии карт. Хотя во времена интернета обналивать можно и без создания физических копий.

Недавно приходит тикет от тестера, в котором мне сообщают, что поле для ввода пароля должно содержать аттрибут autocomplete="off". Виделити браузер может запомнить этот пароль у себя в недрах. Я нежно выругался в сторону наших тупых тестеров, что они дебилы недоделанные и с какого перепуга браузер будет сохранять текст для поля input типа password.

Потом я все же загрузил все браузеры, которые у меня были и проверил, может это все же я дурак и в каком-то из браузеров работает autocomplete на пароли. Но такого браузера я не нашел. Все с успехом проигнорировали и не сохранили ничего.

Ну я пишу гневный комментарий в сторону тестера в стиле: ты че, дебил что-ли? С какого перепуга я должен всякую фигню вставлять в HTML код. Оказывается, что они прогнали сайт какой-то программой поиска уязвимостей, и эта программа им сообщила этот бред. Надо бы узнатЬ, что это за программа была и хотелось бы знать браузер, который может додуматься сохранить пароли в автокоплите.

Никогда не доверял свои пароли браузерам. Не знаю почему, но не доверяю я им. Я понимаю, что браузер защищает мои пароли и шифрует их. Но если найдется одна критическая дырочка в браузере, и все мои важнейшие данные могут обежать в сеть. В принципе, я по порносайтам и варез сайтам не хожу и вирусов не должно быть, но все же, береженого не только бон бережет.

Но вот с тех пор, как пересел на MacBook, так почему-то начал сохранять в браузере пароли. Может быть расслабленность какая-то и надежда на то, что вирусы и трояны в ближайшее время продолжат любить ОС Windows, а Apple останется чистеньким.

А ты доверяешь хранение паролей браузеру?

Странно читать новость о том, что сайты напрямую относящиеся к Linux взломаны. Эта ОС всегда была пушистой в глазах хакеров, поэтому ее никогда не трогали. А тут за короткий период поимели сразу несколько основных сайтов. Очень странненько.

Был когда-то такой хороший журнал Компьютерра, который я когда-то читал и старался не пропускать ни одного номера. Это было еще при первом его редакторе. Но уже наверно более 10 лет назад главный редактор сменился и журнал стал превращаться в полный отстой. Постоянные рубрики испахабились, а тема номера очень сильно зависела от выпускающего редактора. Я рублем за фуфло голосовать не собираюсь, поэтому просто перестал читать этот журнал.

Сегодня просто решил заглянуть на их сайт и посмотреть, живы ли они вообще или уже давно ушли на дно. Чтобы не пытаться догадываться, как может называться url сайта, я зашел на яндекс и набрал компьютерру в поисковой строке. Оказывается сайт еще жив и судя по всему выполнен профессионально. Но прежде чем попасть на сайт, я обратил внимание в яндексе на то, что он не совсем полюбил сайт. Под ссылкой написано, что сайт может угрожать безопасности моего компьютера.

Ребенок хочет играть в полную версию игры Need For Speed на Windows Phone, но мне не кайф платить с кредитной карты. Я в основном плачу с PayPal за подобные вещи. С недавних пор Microsoft внедрила прием PayPal почти везде, в том числе и XBox, а вот с телефона пока нет.

Сегодня лазил в интернете, в поисках способа оплатить с PayPal и зашел на сайт Microsoftstore.ca. И о чудо, внизу окна появилась надпись: Internet Explorer has modified the page to help prevent cross site scripting. Ну не чудесно? Ну да, уязвимость возможно и не критичная, но для такой компании немного позорно оставлять собственный сайт в таком некрасивом положении. У Microsoft и там репутация не из лучших, а тут еще и их собственный браузер сообщает, что сайт может содержать ошибку.

Лично я не испугаюсь CSS, но домохозяйки запросто могут свалить с сайта, тем более, это же электронный магазин и покупать что-то на сайте, у которого есть проблемы с безопасностью немного очкливо.

Прошел всего один день с того момента, как я послал огнелиса и не стал обновлять его до пятой версии. И вот сегодня запускаю FireFox, как в правом нижнем углу появляется окошко Microsoft Essential Security, который сообщает, что у меня в мозиловском кеше сидит троян. Ну спасибо тебе мой дорогой и в то же время бесплатный супербезопасный браузер с открытым исходным кодом, я просто счастлив. Какого черта браузер сохранил в кеше трояна?

Запустил обновление браузера. На этот раз он сообщил, что только один плагин не будет работать. Да ну и фиг с ним. Сидеть в не обновляемом браузере опаснее.