Безопасность

← →
Аббат Пиккола (2012-10-30 23:33) [0]

Допустим есть некоторый довольно-таки известный ресурс в интернете и некоторый аккаунт некоторого пользователя якобы был подвергнут "попытке взлома". Допустим система при очередной попытке пользователя зайти в свой аккаунт под своим старым паролем сообщает ему о том, что аккаунт был подвержен "попытке влома" и просит прислать номер мобильного телефона, на который будет послан код активации, чтобы он мог заменить пароль и продолжить свою работу.

Для меня очевидно, что если аккаунт таки был взломан, то у злоумышленника уже есть пароль, он и получит это сообщение, и сможет, введя свой собственный номер мобильного телефона, произвести активацию и окончательно беспрепятственно похитить аккаунт.

Если же аккаунт так и не был взломан, то достаточно было бы предупредить об имевшей место попытке, чтобы пользователь увеличил, скажем, длину пароля на всякий случай.

Если же система отныне решила изменить правила регистрации и ввод мобильного телефона стал обязателен, то она могла бы вместо всего этого вздора предложить пользователю выбор: либо ввести номер своего мобильного в число предоставляемых системе сведений о себе, либо его аккаунт будет удален. Это было бы хотя бы честно.

Однако данная конкретно система не предлагает удалить аккаунт.
Она даже не предоставляет возможности это сделать. Аккаунт продолжает функционировать, принимать и отсылать на почту приходящие на ресурс сообщения, одним словом изображать дело таким образом, будто аккаунт на этом ресурсе продолжает контролироваться его пользователем, хотя это не так.

Какую оценку вы бы дали подобной системе с точки зрения профессионализма в области обеспечения безопасности, да и просто здравого смысла и порядочности ее создателей?

Стали бы вы доверять такой системе настолько, что сообщили бы ей свой номер мобильного?

Оговорка: при регистрации аккаунта мобильный не требовался.

← →
wicked © (2012-10-30 23:43) [1]

> Какую оценку вы бы дали подобной системе с точки зрения
> профессионализма в области обеспечения безопасности, да
> и просто здравого смысла и порядочности ее создателей?
>

головой не думают

> Стали бы вы доверять такой системе настолько, что сообщили
> бы ей свой номер мобильного?

а что здесь такого?
ну узнают они мой номер мобильного - и что, будут по ночам звонить и тяжело дышать в трубку?

← →
знайка (2012-10-30 23:44) [2]

Я вот не понял. как он был взломан, если его прикрыли?

← →
Игорь Шевченко © (2012-10-30 23:45) [3]

> некоторый аккаунт некоторого пользователя якобы был подвергнут
> "попытке взлома".

что это значит ?

← →
Аббат Пиккола (2012-10-30 23:54) [4]

Его не прикрыли. В него можно зайти по старому паролю, но лишь на страницу, где предлагают ввести номер мобильного. На мобильный пришлют некоторый код. Если я и есть злоумышленник, взломавший страницу, то я введу номер (номера у них нет, иначе бы они и не спрашивали) и получу этот код. Но видно, они полагают, что такая сложная мысль их пользователю в голову прийти не может.

При этом у них имеется мейл пользователя. На который они присылают все что угодно, кроме этого кода. При попытке восстановить пароль, указав тот же мейл, что у них имеется, они прислыают на мейл ссылку на ту же страницу, где нужно вводить номер мобильного. :)

Одним словом, им нужен мобильный телефон любой ценой.
Все остальное - плохо придуманный предлог.

← →
Аббат Пиккола (2012-10-30 23:55) [5]

2 Игорь Шевченко ©

Они не уточняют, что это значит.

← →
знайка (2012-10-31 00:00) [6]

> В него можно зайти по старому паролю, но лишь на страницу,
> где предлагают ввести номер мобильного
Это и есть - прикрыли. Он не работает полноценно. А вот дальше да, какая-то ерунда, если вериить тому, что вы описываете. :)

← →
Аббат Пиккола (2012-10-31 00:02) [7]

Одним словом, старый пароль работает настолько, чтобы дать возможность его поменять любому, кто укажет номер мобильного телефона.

Это трудно понять, так как нормальный человек пытается здесь найти защиту. Защиты нет. Есть требование предоставить им свой мобильный.

← →
Игорь Шевченко © (2012-10-31 00:03) [8]

> Они не уточняют, что это значит.

Не используй этот ресурс

← →
Аббат Пиккола (2012-10-31 00:10) [9]

Если бы он перестал функционировать, не было бы проблем. Но он продолжает функционировать. И его невозможно теперь удалить. Единственное, что возможно сделать (кроме как дать им мобильный), это зайти туда с другого аккаунта и оставить там на "стене" (там есть "стена") сообщение о том, что этот аккаунт отныне не принадлежит его автору и автор больше не несет за отображаемое содержание никакой отвественности, но вся ответственность за контент отныне ложится на саму систему и ее создателей.

← →
Плохиш © (2012-10-31 03:21) [10]

> Аббат Пиккола (31.10.12 00:02) [7]
> Одним словом, старый пароль работает настолько, чтобы дать
> возможность его поменять любому, кто укажет номер мобильного
> телефона.

1. Куда она посылает при вводе неправильного пароля?
2. Откуда придумана информация, что злоумышленник уже имеет правильный пароль?
3. Ввёл n-раз неправильный пароль и логин заблокировали до активации - нормальная практика. Нет никакой гарантии, что указанный е-майл уже не взломан.

← →
Мимо не прошел © (2012-10-31 09:49) [11]

> ну узнают они мой номер мобильного - и что, будут по ночам
> звонить и тяжело дышать в трубку?

например, можно подписать абонентов на платные смс-ки... (..а пять старушек - уже рубль!)

← →
Мимо не прошел © (2012-10-31 09:56) [12]

> И его невозможно теперь удалить.

купить симку, получить код, зайти, самому удалить все данные и заменить их другими (пупкин, и т.п.) Затем начать с этого акка рассылать в систему спам на порноресурсы. До тех пор, пока модераторы не сочтут, что акк создан для спама и не прибьют его. Только в этом случае можно надеятся что акк удалят из базы.
Иначе, система будет вечно хранить ваши данные и ваши хоум-фото. И использовать как считает нужным.

← →
brother © (2012-10-31 09:56) [13]

Блин, стена есть на вконтакте и одноклассниках, и это поведение очень похоже на их систему защиты от злома (якобы)

← →
брат Птибурдукова (2012-10-31 11:17) [14]

> Аббат Пиккола (30.10.12 23:33)
Это ты что ли Atik на кывте?

← →
AV © (2012-10-31 11:50) [15]

Поддерживаю идею
Взять симку (на улице, по-акции) и удалится с этого "известного" ресурса (а лучше, со всех "известных" ресурсов)
Или удалить всю инфу.

Если хочется выкладывать фотки аля "как я держу_солнышко_на_ладони/пошел_в_первый_класс", котырые интересны 2-3 человекам, то:
Создать свою home-page и писать/рисовать там все, что вздумается.
Кто захочет найти - все гуглится за 5 сек

← →
boriskb © (2012-10-31 12:11) [16]

> AV © (31.10.12 11:50) [15]

Это всё равно, что призывать домохозяек не смотреть сериалы.

У меня отношения с "социальными сетями" определённое:
Я зарегестрирован на особо популярных и не пользуюсь ими
Зачем тогда зарегестрирован? Абонент пребует.
Внучка попросила заретиться на одном, друг детства, который нашелся спустя чуть не 30 лет спустя - на другом, барышни-коллеги на третьем и т.д.
Когда связь через соц.сеть установлена (за что им спасибо), для общения использую нормальные пути.

← →
Аббат Пиккола (2012-10-31 12:25) [17]

Плохиш © (31.10.12 03:21) [10]

1. Куда она посылает при вводе неправильного пароля?

Никуда. Говорит пароль неправильный.

2. Откуда придумана информация, что злоумышленник уже имеет правильный пароль?

Не придумана. Просто я рассматриваю все 3 варианта: система в курсе, что у злоумышленника уже есть пароль (тогда просить его предоставить мобильный - абсурд), система в курсе, что пароля у него нет (тогда просить пользователя предоставить мобильный, которого нет у системы - излишне), система не в курсе, как обстоят дела (тогда она рискует совершить либо абсурдное действие, либо действие бессмыленное - оба за счет пользователя).

3. Ввёл n-раз неправильный пароль и логин заблокировали до активации - нормальная практика. Нет никакой гарантии, что указанный е-майл уже не взломан.

В конце концов это проблемы пользователя, если у него е-мейл взломан. Можно по-тупому спросить тайное слово, девичью фамилию матери или еще как-нибудь. Как делают банки... Вариант с требованием предоставить мобильный - самый идиотский. На мой взгляд, разумеется.

Предоставляя номер, пользователь теряет анонимность. Так как по номеру его можно однозначно идентифицировать. Так по крайней мере все будут думать. И здесь возникает одна юридическая проблема.

Мне вообще не нравятся системы, требующие предоставления персональных данных без объяснения причин и без предоставления альтернативы в виде удаления аккаунта из системы в случае, если пользователь предоставлять персональные данные отказывается.

В конце концов это нарушение закона о персональных данных.

Я вполне могу мыслить себе подобный судебный прпецедент. Если какая-то система хранит персональные данные, то суд вполне может посчитать, что она тем самым позволяет и идентифицировать пользователя. То есть что это ТО ЖЕ САМОЕ. Квалификация наших судей не вызывает у меня особого доверия. Допустим меня в такой системе вообще нет. Но кто-то предоставляет мои персональные данные от моего имени, в какой-то момент завладевает моим мобильником (например, пока я в бассейне плаваю), потом размещает там от моего имени педофилию и пропаганду гомосексуализма среди детей, после чего мне шьют дело и уже МНЕ придется доказывать, что я не верблюд, когда судья спросит меня: как возможно, чтобы Вы сами же и активировали свой аккаунт, о чем есть запись в базе данных SMS, и даже не помнили об этом?

Поэтому системы, возлагающие ответственность за контент на пользователей, на мой взгляд, либо должны иметь НАСТОЯЩУЮ систему идентификации (с явкой в офис с паспортом лично), либо не требовать персональные данные вообще, чтобы невозможны были никакие подставы.
Либо же четко объявляли в условиях, что дистанционное предоставление персональных данных не влечет за собой идентификации, имеющей юридическую силу.

Правда это вопрос философский, возможно многие со мной не согласятся.

← →
Мимо не прошел © (2012-10-31 12:32) [18]

> Взять симку (на улице, по-акции) и удалится с этого "известного"
> ресурса (а лучше, со всех "известных" ресурсов)Или удалить
> всю инфу.

В том и засада, что самому удалиться не получится. Все что ты там удаляешь, не удаляется, а лишь помечается в базах как "удаленное" и соотсно меняются права доступа. Вся инфа сохраняется и может в последствии быть использована владельцами ресурса. Это огромная база данных на жителей страны, кто ж ее просто так удалять будет?
Поэтому и следует не удалять, а сначала заменить инфу на другую, левую какую-нить, а потом уже предпринять меры чтобы админы сами удалили акк. Самый простой способ - выдать себя за спамера. Имхо, конечно.

← →
брат Птибурдукова (2012-10-31 12:36) [19]

> Мимо не прошел © (31.10.12 12:32) [18]
Думаешь, храниться будет только последняя версия инфы?

> В конце концов это нарушение закона о персональных данных.

И ты вполне можешь подать иск.

← →
Аббат Пиккола (2012-10-31 12:49) [21]

2 Мимо не прошел ©

Хорошая идея. Пользователь восставнавливает аккаунт, удаляет всех друзей и все такое, меняет всю инфу, насколько это возможно и начинает навязчиво лезть с рекламой, максимально мимикрируя под спамера, на него поступает жалоба, аккаунт прикрывают и все. Слава богу пока уголовной отвественности за спам не предумотрено.
Так как ресурс известный, я думаю, что кто-то уже придумал такой сервис. Пусть платный. Чтобы самому этим не заниматься...
"Фирма удалит ваши аккаунты с известной соцсети всего за 300 руб."

Керк, вроде писал, что одной из востребованных услуг скоро будет удаление информации о человеке в интернете.
Клиенты, уже созревают? :)

← →
брат Птибурдукова (2012-10-31 13:52) [23]

> AV © (31.10.12 13:40) [22]
Мой любимый Виндж пророчит создание добровольной анонимной организации "За частную жизнь", которая всю информацию о частных лицах дублирует дезинформацией, так что, попытавшись найти инфу по некоторому человеку, получишь гигабайты ссылок на всякую чушь... %-)

Мобильники (номера) часто использую для разного рода махинаций, наиболее часто подписка на платный ресурс

> [24] anatoly podgoretsky © (31.10.12 15:11)
> наиболее часто подписка на платный ресурс

Разве можно подписать без подтверждения с самого этого номера? Тогда сразу все возможные номера подписать и рубить капусту.

Другое дело, что шнягу всякую шлют, с предложением подписаться/участвовать/ответить.

← →
anatoly pogoretsky (2012-10-31 17:02) [27]

> Inovet (31.10.2012 15:14:25) [25]

В России все возможно.

Безопасность Найти похожие ветки